Recentemente, a CISA, o FBI e o MS-ISAC emitiram um aviso conjunto estimulando que todas as organizações que utilizam o Confluence Data Center e o Confluence Server a atualizar o software imediatamente devido a uma vulnerabilidade com alto risco. Entenda os motivos pelos quais este alerta é importante.
CVE-2023-22515 no Confluence Data Center e Confluence Server
A vulnerabilidade em questão, denominada CVE-2023-22515, recebeu a pontuação de ameaça máxima CVSS 3.0 de 10.0, bem como status crítico. A brecha de segurança permite a um cibercriminoso, mesmo sem autenticação, reiniciar o processo de configuração do servidor. Ao explorar a CVE-2023-22515, pode-se criar contas com privilégios de acesso de administrador em um servidor Confluence vulnerável.
Somente organizações que utilizam o Confluence Data Center e o Confluence Server local estão em risco. Os clientes do Confluence Cloud não são afetados. A vulnerabilidade também não afeta versões anteriores ao Confluence Data Center e Confluence Server 8.0.0. Abaixo está a lista completa de versões vulneráveis de acordo com a Atlassian:
- 0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4
- 1.0, 8.1.1, 8.1.3, 8.1.4
- 2.0, 8.2.1, 8.2.2, 8.2.3
- 3.0, 8.3.1, 8.3.2
- 4.0, 8.4.1, 8.4.2
- 5.0, 8.5.1
Exploração em ambiente real e PoC no GitHub
O principal problema é que a vulnerabilidade é extremamente fácil de explorar. Isso é agravado pelo fato de que um ataque bem-sucedido a um servidor vulnerável não requer acesso a uma conta nele, o que amplia significativamente o escopo da atividade do responsável pela invasão.
A característica-chave do ataque é que versões vulneráveis do Confluence Data Center e Confluence Server permitem que os atacantes alterem o valor do atributo bootstrapStatusProvider.applicationConfig.setupComplete
para false
sem autenticação no servidor.
Ao fazer isso, os cibercriminosos reinicializam o estágio de configuração do servidor e estão livres para criar suas próprias contas de administrador.
Observe que isso não é apenas uma ameaça teórica – ataques reais já estão sendo realizados. Uma semana após a divulgação das informações sobre a CVE-2023-22515, a equipe de Inteligência contra Ameaças da Microsoft observou um grupo APT explorando essa brecha de segurança.
Como mencionado anteriormente, essa vulnerabilidade no Confluence Data Center e Confluence Server é extremamente fácil de explorar. Isso significa que não apenas hackers altamente qualificados em APT podem utilizá-la, mas os estudantes entediados também tendem a conseguir. Um exploit de Prova de Conceito (PoC) para a CVE-2023-22515 já apareceu no GitHub, completo com um script Python para aplicação fácil: tudo o que uma pessoal mal-intencionada precisa fazer é inserir uma lista de endereços de servidores-alvo no script.
Como proteger sua infraestrutura contra a CVE-2023-22515
Se possível, você deve atualizar seu Confluence Data Center ou Confluence Server para uma versão com a vulnerabilidade já corrigida (8.3.3, 8.4.3, 8.5.2) ou para uma versão posterior na mesma linha.
Se não for possível efetuar a atualização, é recomendável retirar os servidores Confluence vulneráveis do acesso público; isto é, desativar o acesso a partir de redes externas até que a atualização seja instalada.
Caso também não seja possível fazer isso, uma medida paliativa é mitigar a ameaça bloqueando o acesso às páginas de configuração. Mais detalhes podem ser encontrados no próprio comunicado da Atlassian. No entanto, note-se que esta opção não elimina a necessidade de atualizar o Confluence Data Center ou o Confluence Server: apenas temporariamente evita um vetor de ataque conhecido.
Além disso, as organizações que utilizam tanto o Confluence Data Center como o Confluence Server são aconselhadas a verificar se esta vulnerabilidade já foi usada em ataques contra elas. Algumas indicações de exploração da CVE-2023-22515 são:
- Membros novos suspeitos do grupo
confluence-administrators
- Contas de usuários recém-criadas de maneira inesperadas
- Pedidos para
/setup/*.action
nos logs de acesso à rede - Presença de
/setup/setupadministrator.action
uma mensagem de exceçãoatlassian-confluence-security.log
no diretório principal do Confluence.
Tenha em mente que obter o controle sobre o Confluence por meio da exploração da CVE-2023-22515 é improvável que seja o objetivo principal dos cibercriminosos. Em vez disso, provavelmente servirá como uma base para lançar ataques adicionais nos sistemas de informação da empresa.
Para monitorar as atividades suspeitas na infraestrutura corporativa, utilize uma solução de EDR (Endpoint Detection and Response). Se a sua equipe interna de segurança da informação não dispuser dos recursos necessários, pode terceirizar o trabalho para um serviço externo, que procurará continuamente ameaças direcionadas à sua organização e responderá a elas de forma oportuna.