Une vulnérabilité critique de l’application serveur d’entreprise Confluence d’Atlassian, qui permet d’exécuter des commandes malveillantes et de réinitialiser les serveurs, est activement exploitée par des acteurs malveillants dans le cadre d’attaques installant des ransomwares, ont indiqué les chercheurs.
« L’exploitation généralisée de la vulnérabilité de contournement d’authentification CVE-2023-22518 dans Atlassian Confluence Server a commencé, posant un risque de perte de données importante », a écrit Glenn Thorpe, directeur principal de la recherche en sécurité et de l’ingénierie de détection chez la société de sécurité GreyNoise, sur Mastodon dimanche. . « Jusqu’à présent, les IP attaquantes incluent toutes l’Ukraine dans leur cible. »
Il a souligné une page montrant qu’entre minuit et huit heures du dimanche UTC (environ 17 heures le samedi à 1 heure du matin le dimanche, heure du Pacifique), trois adresses IP différentes ont commencé à exploiter la vulnérabilité critique, qui permet aux attaquants de restaurer une base de données et d’exécuter des commandes malveillantes. . Les IP ont depuis stoppé ces attaques, mais il a déclaré qu’il soupçonnait que les exploits se poursuivaient.
« Une seule demande suffit »
Le rapport DFIR publié des captures d’écran montrant les données qu’il avait collectées lors de l’observation des attaques. L’un d’entre eux montrait une demande émanant d’un groupe de ransomwares se faisant appeler C3RB3R.
D’autres captures d’écran montraient des détails supplémentaires, tels que le mouvement latéral post-exploit vers d’autres parties du réseau de la victime et la source des attaques.
Les sociétés de sécurité Rapid7 et Tenable ont également signalé avoir vu des attaques commencer ce week-end.
« Depuis le 5 novembre 2023, Rapid7 Managed Detection and Response (MDR) observe l’exploitation d’Atlassian Confluence dans plusieurs environnements clients, y compris pour le déploiement de ransomwares », ont écrit les chercheurs de l’entreprise Daniel Lydon et Conor Quinn. « Nous avons confirmé qu’au moins certains des exploits ciblent CVE-2023-22518, une vulnérabilité d’autorisation inappropriée affectant Confluence Data Center et Confluence Server.
Les exploits observés par Rapid7 étaient largement uniformes dans plusieurs environnements, une indication d’une « exploitation massive » des serveurs Confluence sur site. « Dans plusieurs chaînes d’attaque, Rapid7 a observé l’exécution de commandes post-exploitation pour télécharger une charge utile malveillante hébergée à l’adresse 193.43.72.[.]11 et/ou 193.176.179[.]41, qui, en cas de succès, a conduit au déploiement du ransomware Cerber sur un seul système sur le serveur Confluence exploité.
CVE-2023-22518 est ce que l’on appelle une vulnérabilité d’autorisation inappropriée et peut être exploitée sur les serveurs Confluence accessibles sur Internet en envoyant des requêtes spécialement conçues aux points de terminaison de configuration-restauration. Les comptes Confluence hébergés dans l’environnement cloud d’Atlassian ne sont pas affectés. Atlassian a révélé la vulnérabilité mardi dernier dans un article. Dans ce document, Bala Sathiamurthy, responsable de la sécurité des informations chez Atlassian, a averti que la vulnérabilité pourrait entraîner « une perte de données importante si elle était exploitée » et a déclaré que « les clients doit prendre des mesures immédiates pour protéger leurs instances.
Jeudi, Atlassian a mis à jour le message pour signaler que plusieurs analyses publiées dans l’intervalle fournissaient « des informations critiques sur la vulnérabilité qui augmente le risque d’exploitation ». La mise à jour semblait faire référence à des articles tels que celui-ci, qui incluait les résultats d’une analyse comparant les versions vulnérables et corrigées pour identifier les détails techniques. Une autre source probable provenait d’un article de Mastodon :
« Une seule requête suffit pour réinitialiser le serveur et obtenir un accès administrateur », indique le message, qui inclut une courte vidéo montrant un exploit en action.
Vendredi, Atlassian a de nouveau mis à jour le message pour signaler qu’une exploitation active était en cours. « Les clients doivent prendre des mesures immédiates pour protéger leurs instances », réitère la mise à jour.
Maintenant que l’on sait que les exploits sont faciles et efficaces, les groupes malveillants se précipitent probablement pour tirer parti de la vulnérabilité avant que leurs cibles ne la corrigent. Toute organisation exécutant un serveur Confluence sur site exposé à Internet doit immédiatement appliquer le correctif et, si cela n’est pas possible, le supprimer temporairement d’Internet. Une autre atténuation plus risquée consiste à désactiver les points de terminaison suivants :
- /json/setup-restore.action
- /json/setup-restore-local.action
- /json/setup-restore-progress.action
La haute direction d’Atlassian a pratiquement supplié les clients concernés de mettre à jour le correctif depuis près d’une semaine maintenant. Les organisations vulnérables ignorent ces conseils à leurs risques et périls.