Microsoft affirme qu’un groupe de menaces soutenu par la Chine et suivi sous le nom de « Storm-0062 » (alias DarkShadow ou Oro0lxy) exploite une élévation de privilèges critique Zero Day dans le centre de données et le serveur Atlassian Confluence depuis le 14 septembre 2023.
Atlassian avait déjà informé ses clients de l’état d’exploitation actif de CVE-2023-22515 lorsqu’il l’a divulgué le 4 octobre 2023. Néanmoins, la société a caché des détails spécifiques sur les groupes de menaces exploitant cette vulnérabilité dans la nature.
Aujourd’hui, les analystes de Microsoft Threat Intelligence ont partagé plus d’informations sur l’implication de Storm-0062 dans l’exploitation de CVE-2023-22515 et ont publié quatre adresses IP incriminées sur un fil de discussion sur Twitter.
Considérant qu’Atlassian a rendu disponibles des mises à jour de sécurité début octobre, Storm-0062 a exploité la faille comme un bug zero-day pendant près de trois semaines, créant des comptes d’administrateur arbitraires sur les points de terminaison exposés.
Storm-0062 est un groupe de piratage d’État lié au ministère chinois de la Sécurité d’État et connu pour cibler les entreprises de logiciels, d’ingénierie, de recherche médicale, gouvernementales, de défense et de technologie aux États-Unis, au Royaume-Uni, en Australie et dans divers pays européens afin de collecter des renseignements.
Les États-Unis ont accusé les pirates chinois en juillet 2020 d’avoir volé des téraoctets de données en piratant des organisations gouvernementales et des entreprises du monde entier.
Exploit PoC publié en ligne
Selon les données collectées par la société de cybersécurité Greynoise, l’exploitation du CVE-2023-22515 semble très limité.
Cependant, une preuve de concept (PoC) exploiter et des détails techniques complets sur la vulnérabilité publiée par Rapide7 les chercheurs d’hier pourraient bientôt changer le paysage de l’exploitation.
Les analystes de Rapid7 ont montré comment les attaquants pouvaient contourner les contrôles de sécurité existants sur le produit et quelle commande cURL peut être utilisée pour envoyer une requête HTTP contrefaite sur les points finaux vulnérables qui crée de nouveaux utilisateurs administrateurs avec un mot de passe connu de l’attaquant.
Leur description détaillée comprend également une demande supplémentaire qui garantit que les autres utilisateurs ne recevront pas de notification concernant la fin de la configuration, ce qui rend la compromission furtive.
Une semaine s’est écoulée depuis qu’Atlassian a déployé des mises à jour de sécurité pour les produits concernés, les utilisateurs ont donc eu suffisamment de temps pour réagir à la situation avant la publication publique de l’exploit PoC.
Si vous ne l’avez pas encore fait, il est recommandé de mettre à niveau vers l’une des versions fixes d’Atlassian Confluence suivantes :
- 8.3.3 ou version ultérieure
- 8.4.3 ou version ultérieure
- 8.5.2 (version de support à long terme) ou version ultérieure
Notez que la faille CVE-2023-22515 n’a pas d’impact sur les versions de Confluence Data Center et Server antérieures à 8.0.0, les utilisateurs des versions plus anciennes n’ont donc aucune action à prendre.
Il en va de même pour les instances hébergées par Atlassian sur les domaines atlassian.net, qui ne sont pas vulnérables à ces attaques.
Pour plus de détails sur les indicateurs de compromission, les instructions de mise à niveau et une liste complète des versions de produits concernées, consultez le site Atlassian. bulletin de sécurité.