Сервис Shadowserver фиксирует попытки эксплуатации критической уязвимости CVE-2023-22527, которая позволяет удалённо выполнять код на устаревших версиях серверов Atlassian Confluence.
Компания Atlassian сообщила о проблеме на прошлой неделе и отметила, что она затрагивает только версии Confluence, выпущенные до 5 декабря 2023 года, а также некоторые версии, которые больше не поддерживаются.
Уязвимость CVE-2023-22527 (оценка CVSS: 10.0) описывается как ошибка внедрения шаблонов, которая позволяет неавторизованному удалённому злоумышленнику выполнять код (Remote Code Execution, RCE) на уязвимых серверах Confluence Data Center и Confluence Server версий 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x и 8.5.0 – 8.5.3. Исправление ошибки доступно для Confluence Data Center 8.6.0 и Server версий 8.5.4 (LTS) и более поздних версий.
Служба мониторинга угроз Shadowserver с 19 января зафиксировала более 39 000 попыток эксплуатации CVE-2023-22527, атаки исходили от более чем 600 уникальных IP-адресов. По данным The DFIR Report, атакующие проверяют обратные вызовы, выполняя команду “whoami”, чтобы собрать информацию об уровне доступа и привилегиях на системе.
Вредоносный HTTP-запрос
В настоящее время более 11 200 серверов Atlassian Confluence доступнычерез интернет. Однако необязательно, что все они работают на уязвимой версии.
Данные Shadowserver
Atlassian ранее заявила, что не может предоставить конкретных индикаторов компрометации (Indicators of Compromise, IoC), которые помогли бы в обнаружении случаев эксплуатации. Администраторы серверов Confluence должны убедиться, что серверы, которыми они управляют, были обновлены хотя бы до версии, выпущенной после 5 декабря 2023 года.
Организации с устаревшими серверами Confluence могут считать их потенциально скомпрометированными, поэтому нужно искать признаки эксплуатации, проводить тщательную очистку и обновляться до безопасной версии.