CISA, FBI et MS-ISAC ont averti aujourd’hui les administrateurs réseau de patcher immédiatement leurs serveurs Atlassian Confluence contre une faille de gravité maximale activement exploitée lors d’attaques.

Suivi comme CVE-2023-22515cette faille critique d’élévation de privilèges affecte Confluence Data Center et Server 8.0.0 et versions ultérieures et est exploitable à distance dans le cadre d’attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.

Le 4 octobre, lors de la publication de mises à jour de sécurité, Atlassian a conseillé à ses clients de mettre à niveau leurs instances Confluence dès que possible vers l’une des versions corrigées (c’est-à-dire 8.3.3 ou version ultérieure, 8.4.3 ou version ultérieure, 8.5.2 ou version ultérieure), car le bug était déjà exploité dans la nature comme un jour zéro.

Ceux qui ne pouvaient pas effectuer la mise à niveau ont été invités à fermer les instances concernées ou à les isoler de l’accès à Internet. Il a également été conseillé aux administrateurs de rechercher des indicateurs de compromission, notamment des comptes d’utilisateurs administrateurs nouveaux ou suspects.

Une semaine après que CISA ait ajouté le bug à sa liste de vulnérabilités exploitées connuesMicrosoft a révélé qu’un groupe de menace soutenu par la Chine et suivi sous le nom de Storm-0062 (alias DarkShadow ou Oro0lxy) exploitait la faille en tant que jour zéro depuis au moins le 14 septembre 2023.

« CISA, FBI et MS-ISAC encouragent fortement les administrateurs réseau à appliquer immédiatement les mises à niveau fournies par Atlassian. » les trois organisations ont prévenu aujourd’hui.

« CISA, FBI et MS-ISAC encouragent également les organisations à rechercher les activités malveillantes sur leurs réseaux à l’aide des signatures de détection et des indicateurs de compromission (IOC) de ce CSA. Si une compromission potentielle est détectée, les organisations doivent appliquer les recommandations de réponse aux incidents. « 

Avertissement d’exploitation généralisé

Les données recueillies par la société de cybersécurité Greynoise indiquent que l’exploitation du CVE-2023-22515 semble très limité jusqu’à présent.

Néanmoins, le paysage de l’exploitation pourrait bientôt changer, avec la publication d’exploits de preuve de concept (PoC). [1, 2] développé par le pentester Valentin Lobstein et l’ingénieur en sécurité Sophee Owen Gong, ainsi que détails techniques complets sur la vulnérabilité publiée par les chercheurs de Rapid7 la semaine dernière.

« En raison de la facilité d’exploitation, CISA, FBI et MS-ISAC s’attendent à une exploitation généralisée des instances Confluence non corrigées dans les réseaux gouvernementaux et privés », prévient l’avis conjoint.

Il est de la plus haute importance de corriger les serveurs Confluence le plus rapidement possible, compte tenu de leur attrait historique pour les entités malveillantes. Les campagnes précédentes impliquant des malwares de type botnet Linux, des mineurs de cryptomonnaies et des attaques de ransomwares AvosLocker et Cerber2021 soulignent l’urgence du problème.

L’année dernière, la CISA a ordonné aux agences fédérales de traiter une autre vulnérabilité critique de Confluence (CVE-2022-26138) exploitée à l’état sauvage. Cela a été motivé par des alertes antérieures d’une société de cybersécurité. Rapide7 et société de renseignement sur les menaces GrisBruit.