Allarme sicurezza per Atlassian: l'escalation di un rischio critico
Messa in guardia sulle conseguenze di exploit su Atlassian: un'appello urgente a rafforzare le difese
Attenzione: è stata scoperta una grave vulnerabilità (CVE-2023-22518) in Atlassian Confluence Server e Data Center con un rischio massimo. Si raccomanda un aggiornamento urgente per prevenire attacchi ransomware.
In seguito a una serie di attacchi ransomware mirati verso configurazioni non aggiornate di Atlassian Confluence Data Center e Server, si è assistito ad un innalzamento della valutazione del rischio associato alla vulnerabilità nota. Originariamente stimato con un punteggio del Common Vulnerability Scoring System (CVSS) di 9.1, questo valore è stato poi portato al massimo possibile di 10. Le istanze Cloud di Atlassian Confluence rimangono, al momento, non interessate da questa problematica.
Dettagli della vulnerabilità e severità
L'incidente di sicurezza, monitorato con l'identificativo CVE-2023-22518, è stato aggravato da un ampliamento nel metodo di attacco, così riportato dal recente comunicato di Atlassian. L'organo di ricerca Rapid7 ha inoltre rilasciato un report che segnala una recrudescenza degli attacchi, cominciati lo scorso weekend. Il software aziendalistico Atlassian è ampiamente diffuso per il suo impiego nello sviluppo e nella cooperazione in ambito software.
Implicazioni della falla di sicurezza
La vulnerabilità in questione permetterebbe a un attaccante non autenticato di eseguire un reset dell'istanza Confluence e di creare un account amministratore. Grazie a queste credenziali, il soggetto malintenzionato avrebbe la possibilità di eseguire tutte le operazioni amministrative tipiche di un amministratore dell'istanza Confluence. Ciò comporterebbe una violazione completa della riservatezza, integrità e disponibilità dei sistemi coinvolti.
Sintomi di attacco e raccomandazioni di sicurezza
L'entità degli impatti è al momento non quantificabile da Atlassian, che comunque segnala alcuni indizi di compromissione: perdita di accesso o delle credenziali di login, richieste sospette agli indirizzi /json/setup-restore* nei log di rete, installazione di plugin non riconosciuti - tra cui è stato segnalato il "web.shell.Plugin" - dati criptati o corrotti, inserimenti inaspettati nel gruppo degli amministratori di Confluence e creazione di nuovi account utente non autorizzati.
Follow us on Threads for more pills like this11/07/2023 20:04
Marco Verro