Il pericoloso bug RCE CVE-2023-22527 minaccia Confluence, con oltre 39.000 attacchi rilevati e una forte presenza russa.
La recente scoperta di una grave vulnerabilità di esecuzione remota di codice (RCE), identificata come CVE-2023-22527, ha portato alla luce la fragilità di Confluence, il noto software di collaborazione sviluppato da Atlassian. Il rischio che tale debolezza comporta per le organizzazioni è evidente dal punteggio di pericolosità attribuito: un allarmante 10 su 10 nel Common Vulnerability Scoring System (CVSS). Esperti nel settore della cyber security hanno segnalato una fitta serie di tentativi di sfruttamento di questo bug, direttamente collegabili a soggetti malevoli.
La criticità ha interessato diverse versioni del software Confluence, comprese quelle non più attive o supportate, risalenti al periodo precedente al 5 dicembre 2023. In particolare, le versioni in pericolo sono le serie 8.0.x fino alla 8.5.3 nel Confluence Data Center e Server.
Atlassian ha prontamente reagito, rilasciando aggiornamenti salvifici per le versioni 8.5.4 (LTS), 8.6.0 (esclusivamente Data Center) e 8.7.1 (anche in questo caso, unicamente Data Center). Tuttavia, le versioni anteriori alla 8.4.5, che hanno esaurito il loro periodo di supporto, sono rimaste sprovviste di una soluzione ufficiale, lasciando i sistemi esposti a possibili attacchi.
Nonostante gli sforzi di Atlassian, i segnali di compromissione (Indicator of Compromise – IoC) presenti nei sistemi infetti rimangono sfuggenti, rendendo complessa l’individuazione di intrusioni avvenute sfruttando il CVE-2023-22527. Perciò, è fondamentale per gli amministratori di sistema verificare l’applicazione degli ultimi aggiornamenti, data l’importanza cruciale di mantenere i propri sistemi protetti dagli assalti informatici.
Dalle fonti di Shadowserver, è emerso che gli attaccanti non perdono tempo nell’indirizzare i loro sforzi verso le vulnerabilità emergenti. Finora, sono stati catalogati migliaia di tentativi di sfruttamento, con incursioni che hanno avuto origine da centinaia di indirizzi IP differenti.
I pirati informatici, servendosi del comando “whoami”, hanno eseguito operazioni per raccogliere informazioni sull’identità degli utenti e sui privilegi di sistema ottenuti. In particolare, si segnala un elevato numero di attacchi partiti da indirizzi IP localizzati in Russia, rivelando un intenso sforzo concentrato in tal senso.
Al momento, le installazioni online di Atlassian Confluence superano quota undicimila, sebbene non tutte le istanze presenti in rete siano necessariamente vulnerabili. La situazione rimane comunque allarmante, e la priorità è quella di assicurarsi che ogni sistema sia salvaguardato e aggiornato contro le minacce incombenti.