CISA e FBI urgem atualização imediata do Atlassian Confluence contra vulnerabilidade explorada

A Agência de Cibersegurança e de Infraestrutura (CISA), o Centro de Análise e Partilha de Informações Multi-Estado (MS-ISAC) e o FBI alertaram os administradores de rede para a atualização imediata dos seus servidores Atlassian Confluence contra uma vulnerabilidade de elevada gravidade que está a ser ativamente explorada por cibercriminosos.

A falha crítica de escalação de privilégios – rastreada como CVE-2023-22515 – está a afetar o data center da Confluence, assim como o Server 8.0.0 e posteriores, podendo ser explorada remotamente em ataques de baixa complexidade e que não necessitam de interação dos utilizadores.

No início do mês, a 4 de outubro, a Atlassian lançou as atualizações de segurança e aconselhou os utilizadores a atualizarem as suas instâncias do Confluence o mais rápido possível para uma das versões corrigidas (ou seja, 8.3.3 ou posterior, 8.4.3 ou posterior, 8.5.2 ou posterior), uma vez que o bug já tinha sido explorado como um zero-day.

Os utilizadores que não conseguiram atualizar deveriam encerrar as instâncias afetadas ou isolá-las do acesso à Internet. Além disto, foi recomendada aos administradores a verificação dos indicadores de comprometimento, como contas de utilizadores administradores novas ou suspeitas.

Uma semana após a CISA adicionar a falha à sua lista de Vulnerabilidades Exploradas Conhecidas (KEV), a Microsoft revelou que a vulnerabilidade está a ser explorada como um zero-day por um grupo de cibercriminosos conhecido como DarkShadow ou Oro0lxy, apoiado pela China, desde pelo menos dia 14 de setembro de 2023.

“A CISA, o FBI e o MS-ISAC encorajam fortemente os administradores de rede a aplicar imediatamente as atualizações fornecidas pela Atlassian”, alertaram as três organizações. “A CISA, o FBI e o MS-ISAC também incentivam as organizações a procurar atividades maliciosas nas suas redes utilizando as assinaturas de deteção e indicadores de comprometimento (IOCs) neste CSA. Se um comprometimento potencial for detetado, as organizações devem aplicar as recomendações de resposta a incidentes”.

A exploração da falha CVE-2023-22515 parece ser muito limitada até agora, segundo os dados recolhidos pela empresa de cibersegurança Greynoise. No entanto, isto poderá mudar em breve com o lançamento de explorações proof-of-concept (PoC), desenvolvidas pelo pentester Valentin Lobstein e pelo engenheiro de segurança da Sophee Owen Gong, e com a divulgação dos detalhes técnicos sobre a vulnerabilidade, publicados por investigadores da Rapid7.

O comunicado conjunto acrescenta ainda que: “devido à facilidade de exploração, a CISA, o FBI e o MS-ISAC esperam ver uma exploração generalizada de instâncias não corrigidas do Confluence nas redes governamentais e privadas”.

A rápida aplicação de patches nos servidores Confluence é importante dado o seu apelo histórico a entidades maliciosas, como campanhas anteriores que envolveram o malware de botnet Linux, crypto miners e ataques de ransomware AvosLocker e Cerber2021.