Début des attaques exploitant la vulnérabilité critique d’Atlassian Confluence
Avec la CVE-2023-22527, c’est désormais la troisième fois en quatre mois qu’une faille critique d’Atlassian Confluence est exploitée activement par des acteurs malveillants.
Plusieurs organismes de cybersécurité ont observé des tentatives d’exploitation d’une vulnérabilité critique d’Atlassian Confluence qui a été divulguée et corrigée la semaine dernière.
Dans un avis de sécurité publié le 16 janvier, Atlassian a détaillé une vulnérabilité d’exécution de code à distance (RCE) référencée CVE-2023-22527 qui a reçu le score CVSS le plus élevé possible de 10 sur 10. La faille affecte les versions 8.0.x et 8.5.3 d’Atlassian Confluence Data Center et Confluence Server.
Dans l’avis de sécurité de la semaine dernière, Atlassian a averti les utilisateurs qu’ils devaient appliquer le correctif disponible « immédiatement ». L’exploitation pourrait permettre à un attaquant non authentifié de réaliser une exécution de code arbitraire à distance sur une instance affectée.
Cette semaine, plusieurs organismes de cybersécurité ont signalé des tentatives d’exploitation de cette vulnérabilité critique. La Shadowserver Foundation britannique a observé les premières tentatives d’exploitation dès le 19 janvier, trois jours seulement après la divulgation de la faille. Lundi, les analyses effectuées par l’organisation à but non lucratif spécialisée dans la cybersécurité ont révélé que plus de 11 000 instances vulnérables subsistaient. La majorité des analyses proviennent d’Europe, d’Amérique du Nord et d’Asie.
« Plus de 600 adresses IP ont été vues en train d’attaquer jusqu’à présent (en testant les tentatives de rappel et l’exécution de la commande “whoami”) », a écrit Shadowserver sur Mastodon et X (anciennement Twitter) : « si vous avez des instances Atlassian Confluence exposées, assurez-vous qu’elles sont à jour (et si ce n’est pas le cas, vérifiez les signes de compromission !) ».
We are seeing Atlassian Confluence CVE-2023-22527 pre-auth template injection RCE attempts since 2024-01-19. Over 600 IPs seen attacking so far (testing callback attempts and 'whoami' execution). Vulnerability affects out of date versions of Confluence: https://t.co/HFkPWIzJ1S pic.twitter.com/JPnsf3NFs2
— Shadowserver (@Shadowserver) January 22, 2024
Le fournisseur de renseignements sur les menaces GreyNoise a détecté des activités malveillantes à partir de lundi, qui se sont intensifiées le lendemain. Mardi, GreyNoise a observé 37 adresses IP malveillantes tentant d’exploiter la CVE-2023-22527. La localisation géographique de ces adresses était similaire aux résultats de Shadowserver, avec 11 adresses IP provenant de Hong Kong et huit des États-Unis.
Caitlin Condon, directrice de la veille sur les vulnérabilités chez Rapid7, a confirmé que l’éditeur de solutions de sécurité a également observé des tentatives d’exploitation pour CVE-2023-22527. Cependant, l’activité a été inefficace jusqu’à présent.
« Notre réseau de honeypots a détecté des tentatives d’exploitation, et nous avons vu au moins une tentative infructueuse contre un environnement de production », a déclaré Caitlin Condon dans un courriel adressé à la rédaction de TechTarget.
L’activité d’exploitation a explosé
L’Internet Storm Center de l’institut SANS a également détecté une première activité d’exploitation lundi. Dans un billet de blog, Johannes Ullrich, doyen de la recherche au SANS, relève que les tentatives d’exploitation contre les pots de miel (« honey pot » en anglais) du centre ont augmenté à la suite de la publication d’une démonstration d’exploitation de la vulnérabilité. Johannes Ullrich a exhorté les utilisateurs à corriger immédiatement la faille et à « assumer la compromission » des systèmes non corrigés.
Johannes Ullrich a publié une mise à jour mardi, indiquant que l’activité d’exploitation sur les serveurs vulnérables avait « explosé » depuis le billet de lundi. Sur la base des indicateurs de compromission et des types de logiciels malveillants déployés sur les pots de miel, il a déclaré qu’il fallait « s’attendre à des articles de presse la semaine prochaine indiquant que l’Iran exploite cette situation contre les systèmes gouvernementaux ».
Cependant, la portée de l’attaque pourrait être relativement limitée, car la vulnérabilité n’affecte pas les sites d’Atlassian Cloud.
« On peut se demander combien de cibles de grande valeur sont vulnérables. La plupart des organisations ont migré vers les offres cloud d’Atlassian et n’hébergent pas d’outils tels que Confluence dans leurs locaux », relève Johannes Ullrich.
TechTarget Editorial a contacté Atlassian pour obtenir des mises à jour depuis l’avis de la semaine dernière. Le fournisseur a refusé de s’étendre sur les activités d’exploitation, mais il a déclaré que le problème avait été corrigé dans une version précédente, a fait référence à l’avis et a insisté sur l’urgence d’appliquer les correctifs.
« Nous avons pris des mesures rapides depuis la découverte de la vulnérabilité pour assurer la sécurité de nos clients et de leurs données », a déclaré Atlassian dans un courriel. « Cette vulnérabilité est mûre pour les acteurs malveillants opportunistes, et notre objectif reste d’aider nos clients à prendre des mesures opportunes pour protéger leurs données. Atlassian ne peut pas confirmer si une instance client a été affectée par cette vulnérabilité. Les clients doivent faire appel à leur équipe de sécurité locale pour vérifier toutes les instances de Confluence affectées afin de trouver des preuves de compromission ».
L’activité d’exploitation de la vulnérabilité CVE-2023-22527 marque une nouvelle série d’attaques contre les produits Confluence Data Center et Confluence Server d’Atlassian, qui sont devenus des cibles populaires pour les acteurs malveillants. Il y a deux mois, ces produits ont subi des attaques généralisées liées à une vulnérabilité distincte, CVE-2023-22518. En octobre, une autre vulnérabilité inédite d’Atlassian Confluence, référencée CVE-2023-22515, a également fait l’objet d’attaques.