Ciberseguridad 360 | Ransomware Cerber explota vulnerabilidad de Atlassian Confluence

Los atacantes est�n explotando una falla de omisi�n de autenticaci�n de Atlassian Confluence recientemente parcheada y de gravedad cr�tica para cifrar los archivos de las v�ctimas utilizando el ransomware Cerber.

Descrito por Atlassian como una vulnerabilidad de autorizaci�n inadecuada y rastreado como CVE-2023-22518, este error recibi� una calificaci�n de gravedad de 9.1/10 y afecta a todas las versiones del software Confluence Data Center y Confluence Server.

Atlassian lanz� actualizaciones de seguridad el martes pasado, advirtiendo a los administradores que parchearan inmediatamente todas las instancias vulnerables, ya que la falla tambi�n podr�a explotarse para borrar datos.

"Como parte de nuestros procesos continuos de evaluaci�n de seguridad, hemos descubierto que los clientes de Confluence Data Center y Server son vulnerables a una p�rdida significativa de datos si son explotados por un atacante no autenticado", afirm� Bala Sathiamurthy, director de seguridad de la informaci�n (CISO) de Atlassian .

"No hay informes de explotaci�n activa en este momento; sin embargo, los clientes deben tomar medidas inmediatas para proteger sus instancias".

La compa��a emiti� una segunda advertencia d�as despu�s, alertando a los clientes que una prueba de concepto de exploit ya estaba disponible en l�nea, aunque no ten�a evidencia de explotaci�n en curso.

Se inst� a aquellos que no pueden parchear sus sistemas a aplicar medidas de mitigaci�n, incluida la copia de seguridad de instancias sin parches y el bloqueo del acceso a Internet a servidores sin parches hasta que est�n protegidos.

Tambi�n existe la opci�n de eliminar vectores de ataque conocidos modificando /<confluence-install-dir>/confluence/WEB-INF/web.xml como se explica en el aviso, documentado en Atlassian Support, y reiniciando las instancias vulnerables.

Seg�n datos del servicio de monitoreo de amenazas ShadowServer, actualmente hay m�s de 24.000 instancias de Confluence expuestas en l�nea, aunque no hay forma de saber cu�ntas son vulnerables a los ataques CVE-2023-22518.

Instancias de Atlassian Confluence expuestas a Internet (Shadowserver)

Explotado en ataques de Ransomware

Atlassian actualiz� su aviso el viernes para advertir que los actores de amenazas ya estaban apuntando a la falla en los ataques despu�s del lanzamiento del exploit PoC.

"Recibimos un informe de un cliente sobre un exploit activo. Los clientes deben tomar medidas inmediatas para proteger sus instancias. Si ya aplicaron el parche, no se requiere ninguna otra acci�n", dijo la compa��a.

Durante el fin de semana, la empresa de inteligencia sobre amenazas GreyNoise advirti� sobre la explotaci�n generalizada de CVE-2023-22518 a partir del domingo 5 de noviembre.

La empresa de ciberseguridad Rapid7 tambi�n observ� ataques contra servidores Atlassian Confluence expuestos a Internet con exploits dirigidos a la omisi�n de autenticaci�n CVE-2023-22518 y una escalada de privilegios cr�ticos m�s antigua (CVE-2023-22515) previamente explotada como d�a cero.

"A partir del 5 de noviembre de 2023, Rapid7 Managed Detecci�n y Respuesta (MDR) est� observando la explotaci�n de Atlassian Confluence en m�ltiples entornos de clientes, incluso para la implementaci�n de ransomware", dijo la compa��a.

"En m�ltiples cadenas de ataques, Rapid7 observ� la ejecuci�n de comandos posteriores a la explotaci�n para descargar una carga �til maliciosa alojada en 193.43.72[.]11 y/o 193.176.179[.]41, que, si ten�a �xito, conduc�a al ransomware Cerber de un solo sistema. implementaci�n en el servidor de Confluence explotado".

CISA, el FBI y el Centro de an�lisis e intercambio de informaci�n multiestatal (MS-ISAC) emitieron un aviso conjunto el mes pasado, instando a los administradores de red a proteger de inmediato los servidores de Atlassian Confluence contra el error de escalada de privilegios CVE-2023-22515, explotado activamente, que ha estado bajo explotaci�n activa desde al menos el 14 de septiembre, seg�n un informe de Microsoft .

El ransomware Cerber (tambi�n conocido como CerberImposter) tambi�n se implement� en ataques dirigidos a servidores Atlassian Confluence hace dos a�os utilizando una vulnerabilidad de ejecuci�n remota de c�digo (CVE-2021-26084), un error previamente explotado para instalar criptomineros.

Fuente: bleepingcomputer.com