Microsoft ha rivelato che un gruppo di minacce sostenuto dalla Cina, identificato come ‘Storm-0062’ (noto anche come DarkShadow o Oro0lxy), sta sfruttando una grave vulnerabilità di escalation dei privilegi nel Data Center e Server di Atlassian Confluence dal 14 settembre 2023. Atlassian aveva già informato i clienti dello stato di sfruttamento attivo di CVE-2023-22515 quando lo aveva divulgato il 4 ottobre 2023. Tuttavia, l’azienda non aveva fornito dettagli specifici sui gruppi di minacce che sfruttavano la vulnerabilità.
Oggi, gli analisti dell’Intelligence delle minacce di Microsoft hanno condiviso ulteriori informazioni sull’implicazione di Storm-0062 nell’exploit di CVE-2023-22515, pubblicando quattro indirizzi IP incriminati in un thread su Twitter. Considerando che Atlassian ha reso disponibili gli aggiornamenti di sicurezza all’inizio di ottobre, Storm-0062 ha sfruttato la falla come bug zero-day per quasi tre settimane, creando account amministratore arbitrari sui terminali esposti.
Storm-0062 è un gruppo di hacker di stato collegato al Ministero della Sicurezza dello Stato cinese, noto per aver preso di mira software, ingegneria, ricerca medica, governo, difesa e aziende tecnologiche negli Stati Uniti, nel Regno Unito, in Australia e in vari paesi europei per raccogliere informazioni. Gli Stati Uniti hanno incriminato gli hacker cinesi nel luglio 2020 per aver rubato terabyte di dati violando organizzazioni governative e aziende in tutto il mondo.
Rilasciato online un exploit PoC
Secondo i dati raccolti dalla società di cybersecurity Greynoise, lo sfruttamento di CVE-2023-22515 sembra molto limitato. Tuttavia, un exploit proof-of-concept (PoC) e dettagli tecnici completi sulla vulnerabilità rilasciati dai ricercatori di Rapid7 potrebbero presto cambiare il panorama dello sfruttamento. Gli analisti di Rapid7 hanno mostrato come gli aggressori potrebbero eludere i controlli di sicurezza esistenti sul prodotto e quale comando cURL potrebbe essere utilizzato per inviare una richiesta HTTP elaborata su terminali vulnerabili che creano nuovi utenti amministratori con una password nota all’attaccante.
È trascorsa una settimana da quando Atlassian ha rilasciato gli aggiornamenti di sicurezza per i prodotti interessati, quindi gli utenti hanno avuto ampio tempo per rispondere alla situazione prima del rilascio pubblico dell’exploit PoC. Se non lo avete ancora fatto, si consiglia di aggiornare a una delle seguenti versioni corrette di Atlassian Confluence: 8.3.3 o successive, 8.4.3 o successive, 8.5.2 (versione di supporto a lungo termine) o successive. Si noti che la falla CVE-2023-22515 non influisce sulle versioni di Confluence Data Center e Server precedenti alla 8.0.0, quindi gli utenti di versioni più vecchie non devono intraprendere alcuna azione.