Un buen motivo para actualizar Confluence

Ha llegado la hora de actualizar Confluence Data Center y Confluence Server: contienen una vulnerabilidad grave que permite la creación sin autorización de cuentas de administrador.

Recientemente, CISA, FBI y MS-ISAC han emitido una advertencia conjunta instando a todas las organizaciones que utilizan Confluence Data Center y Confluence Server a actualizar el software de inmediato debido a una vulnerabilidad grave. A continuación, te contamos cuál es el problema y por qué debes hacer caso a estar advertencia.

La CVE-2023-22515 en Confluence Data Center y Confluence Server

La vulnerabilidad en cuestión, designada como CVE-2023-22515, recibió la puntuación máxima de amenaza en CVSS 3.0 de 10.0, así como el estado crítico. Esta vulnerabilidad permite a un atacante, incluso aunque no esté autenticado, reiniciar el proceso de configuración del servidor. Además, en caso de explotación, podría crear cuentas con derechos de administrador en un servidor Confluence vulnerable.

Nivel de gravedad de la CVE-2023-22515

LA CVE-2023-22515: alto nivel de gravedad y explotación. Fuente.

Solo están en riesgo las organizaciones que utilizan Atlassian Confluence Data Center y Confluence Server en local; por lo que los clientes de Confluence Cloud no se verán afectados. La vulnerabilidad tampoco afecta a las versiones de Confluence Data Center y Confluence Server anteriores a la 8.0.0. A continuación, te mostramos la lista completa de versiones vulnerables según Atlassian:

  • 0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4
  • 1.0, 8.1.1, 8.1.3, 8.1.4
  • 2.0, 8.2.1, 8.2.2, 8.2.3
  • 3.0, 8.3.1, 8.3.2
  • 4.0, 8.4.1, 8.4.2
  • 5.0, 8.5.1

Su explotación en activo y la PoC en GitHub

El principal problema de esta vulnerabilidad es que resulta extremadamente fácil de explotar. Por no hablar del hecho de que un ataque exitoso a un servidor vulnerable no requiere ni siquiera acceso a una cuenta, lo que amplía significativamente el alcance de la actividad del atacante.

La característica clave del ataque consiste en que las versiones vulnerables de Confluence Data Center y Confluence Server permiten a los atacantes cambiar el valor del atributo de bootstrapStatusProvider.applicationConfig.setupComplete a falso sin necesidad de autenticarse en el servidor. Al hacerlo, reinician la etapa de configuración del servidor y son libres de crear sus propias cuentas de administrador.

Característica clave de la explotación de la CVE-2023-22515

Característica clave de la explotación de la vulnerabilidad en Confluence Data Center y Confluence Server. Fuente.

Ten en cuenta que no estamos hablando solo de una teoría: ya se están llevando a cabo ataques reales. De hecho, una semana después de que se hiciera pública la información sobre la CVE-2023-22515, el equipo de Microsoft Threat Intelligence observó cómo un grupo de APT ya andaba explotando esta vulnerabilidad.

Alerta de Microsoft Threat Intelligence sobre la explotación de la CVE-2023-22515 por parte de Storm-0062 (también conocido como DarkShadow, Oro0lxy)

Alerta de Microsoft Threat Intelligence sobre la explotación de la CVE-2023-22515 en activo. Fuente.

Como ya hemos comentado, esta vulnerabilidad en Confluence Data Center y Confluence Server resulta extremadamente fácil de explotar. Esto significa que no sólo los atacantes de APT altamente cualificados pueden hacerlo, sino también cualquier colegial aburrido. Ya ha aparecido en GitHub una prueba de concepto de la explotación de la CVE-2023-22515, completa con un script en Python para una explotación sencilla y a escala masiva. Por tanto, todo lo que tiene que hacer el atacante es introducir una lista de direcciones de servidores de destino en la secuencia de comandos.

Cómo proteger tu infraestructura contra la CVE-2023-22515

Siempre que sea posible, debes actualizar tu Confluence Data Center o Confluence Server a una versión en la que vulnerabilidad ya esté parcheada (8.3.3, 8.4.3, 8.5.2) o a una versión posterior dentro de la misma rama.

Si no puedes actualizar la versión, te recomendamos eliminar los servidores Confluence vulnerables del acceso público; es decir, desactivar el acceso a ellos desde redes externas hasta que se instale la actualización.

Si tampoco puedes, una medida provisional puede consistir en mitigar la amenaza bloqueando el acceso a las páginas de configuración. Para más información, puedes visitar la propia advertencia de Atlassian. Sin embargo, cabe destacar que esta opción no elimina la necesidad de actualizar Confluence Data Center o Confluence Server: solo frustra temporalmente un vector de ataque conocido.

Además, se recomienda a las organizaciones que utilizan Confluence Data Center y Confluence Server que comprueben si esta vulnerabilidad ya se ha utilizado en ataques anteriores en su contra. Algunos indicios de explotación de la CVE-2023-22515 son:

  • Que aparezcan nuevos y sospechosos miembros en el grupo confluence-administrators
  • Las cuentas de usuario recién creadas que no estaban previstas
  • Las solicitudes para /setup/*.action, es decir, configurar nuevas acciones en los registros de acceso a la red
  • La presencia del comando /setup/setupadministrator.action para establecer una acción de administrador en un mensaje de excepción en atlassian-confluence-security.log del directorio principal de Confluence.

Ten en cuenta que es poco probable que el objetivo principal de los atacantes sea obtener el control sobre Confluence a través de la explotación de la CVE-2023-22515. Pero sí puede servir como punto de apoyo para lanzar nuevos ataques a los sistemas de información de la empresa.

Para supervisar las actividades sospechosas que tengan lugar en tu infraestructura corporativa, utiliza una solución de EDR (detección y respuesta de endpoint). Si tu equipo de seguridad de la información carece de los recursos necesarios, siempre puedes subcontratar el trabajo a un servicio externo, que andará constantemente en busca de amenazas que se dirijan a tu organización y responderá a estas de manera oportuna.

Consejos