CISA, FBI e MS-ISAC hanno lanciato un avviso urgente agli amministratori di rete affinché correggano immediatamente i loro server Atlassian Confluence. Questo a seguito della scoperta di una grave vulnerabilità attivamente sfruttata negli attacchi.
Dettagli sulla vulnerabilità
Identificata come CVE-2023-22515, questa critica vulnerabilità di escalation dei privilegi colpisce Confluence Data Center e Server dalla versione 8.0.0 in poi. È sfruttabile da remoto in attacchi di bassa complessità che non richiedono interazione dell’utente. Atlassian ha consigliato ai clienti di aggiornare le loro istanze di Confluence il più presto possibile alle versioni corrette, dato che il bug era già sfruttato come zero-day. Coloro che non potevano aggiornare sono stati esortati a chiudere le istanze interessate o a isolarle dall’accesso a Internet.
Gruppi di minacce coinvolti
Una settimana dopo che CISA ha aggiunto il bug alla sua lista di vulnerabilità note sfruttate, Microsoft ha rivelato che un gruppo di minacce sostenuto dalla Cina, noto come Storm-0062 (o DarkShadow o Oro0lxy), ha sfruttato la falla come zero-day dal 14 settembre 2023. Le tre organizzazioni hanno fortemente consigliato agli amministratori di rete di applicare immediatamente gli aggiornamenti forniti da Atlassian.
Avvertimento sull’ampia sfruttamento
I dati raccolti dalla società di cybersecurity Greynoise indicano che lo sfruttamento di CVE-2023-22515 sembra molto limitato finora. Tuttavia, il panorama dello sfruttamento potrebbe cambiare presto, con la pubblicazione di exploit proof-of-concept sviluppati da Valentin Lobstein e Owen Gong, nonché dettagli completi sulla vulnerabilità pubblicati dai ricercatori di Rapid7. “A causa della facilità di sfruttamento, CISA, FBI e MS-ISAC si aspettano di vedere un ampio sfruttamento di istanze Confluence non corrette nelle reti governative e private”, avverte il comunicato congiunto.