Vulnerabilità server Atlassian Confluence: attacco massiccio in corso

Nei giorni scorsi è stata individuata una vulnerabilità critica nell’app server aziendale Confluence di Atlassian. Attraverso questo exploit, hacker sono in grado di eseguire comandi dannosi e reimpostare i server, con possibilità anche di effettuare attacchi ransomware.

Attraverso il social Mastodon, si è espresso Glenn Thorpe di GreyNoise affermando come “È iniziato lo sfruttamento diffuso della vulnerabilità di bypass dell’autenticazione CVE-2023-22518 in Atlassian Confluence Server, che comporta il rischio di una significativa perdita di dati“. Lo stesso esperto ha poi specificato come tutti gli indirizzi IP attaccati risultano essere sul territorio ucraino.

Grazie al lavoro degli esperti di sicurezza è stato possibile individuare tre diversi indirizzi IP hanno che hanno iniziato a sfruttare la vulnerabilità critica in modo massiccio a partire dalle 00:00 alle 8:00 di domenica (orario italiano). Nonostante l’ondata di attacchi si sia temporaneamente fermata, per gli specialisti del settore sono più che probabili ulteriori operazioni nel corso delle prossime ore.

Server Atlassian Confluence sotto attacco: l’importanza della patch correttiva

A proposito degli attacchi ai server Atlassian Confluence si sono espressi anche Daniel Lydon e Conor Quinn di Rapid7 “A partire dal 5 novembre 2023, Rapid7 Managed Detection and Response (MDR) sta osservando lo sfruttamento di Atlassian Confluence in diversi ambienti dei clienti, inclusa la distribuzione di ransomware“.

Gli esperti hanno proseguito affermando “Abbiamo confermato che almeno alcuni degli exploit prendono di mira CVE-2023-22518, una vulnerabilità di autorizzazione impropria che colpisce Confluence Data Center e Confluence Server“.

Come da prassi Atlassian Confluence ha già proposto una patch correttiva: in tal senso, chiunque gestisce un server di questo tipo dovrebbe immediatamente aggiornare il proprio server.  Ora che si è sparsa la voce che gli exploit sono facili da sfruttare, infatti, è probabile che i gruppi di cybercriminali si stiano attivando per sfruttare la vulnerabilità prima che questa venga corretta sulla pressoché totalità dei server.