{"id":29263,"date":"2023-10-24T13:47:37","date_gmt":"2023-10-24T11:47:37","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=29263"},"modified":"2023-10-24T13:47:37","modified_gmt":"2023-10-24T11:47:37","slug":"confluence-data-center-server-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/confluence-data-center-server-vulnerability\/29263\/","title":{"rendered":"Un buen motivo para actualizar Confluence"},"content":{"rendered":"<p>Recientemente, CISA, FBI y <a href=\"https:\/\/en.wikipedia.org\/wiki\/Center_for_Internet_Security\" target=\"_blank\" rel=\"nofollow noopener\">MS-ISAC<\/a> han emitido una <a href=\"https:\/\/www.theregister.com\/2023\/10\/17\/confluence_zero_day_advisory\/\" target=\"_blank\" rel=\"nofollow noopener\">advertencia<\/a> conjunta instando a todas las organizaciones que utilizan Confluence Data Center y Confluence Server a actualizar el software de inmediato debido a una vulnerabilidad grave. A continuaci\u00f3n, te contamos cu\u00e1l es el problema y por qu\u00e9 debes hacer caso a estar advertencia.<\/p>\n<h2>La CVE-2023-22515 en Confluence Data Center y Confluence Server<\/h2>\n<p>La vulnerabilidad en cuesti\u00f3n, designada como <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-22515\" target=\"_blank\" rel=\"nofollow noopener\">CVE-2023-22515<\/a>, recibi\u00f3 la puntuaci\u00f3n m\u00e1xima de amenaza en CVSS 3.0 de 10.0, as\u00ed como el estado cr\u00edtico. Esta vulnerabilidad permite a un atacante, incluso aunque no est\u00e9 autenticado, reiniciar el proceso de configuraci\u00f3n del servidor. Adem\u00e1s, en caso de explotaci\u00f3n, podr\u00eda crear cuentas con derechos de administrador en un servidor Confluence vulnerable.<\/p>\n<div id=\"attachment_29265\" style=\"width: 3010px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2023\/10\/24133902\/confluence-data-center-server-vulnerability-1-scaled-1-scaled.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-29265\" class=\"wp-image-29265 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2023\/10\/24133902\/confluence-data-center-server-vulnerability-1-scaled-1-scaled.jpg\" alt=\"Nivel de gravedad de la CVE-2023-22515\" width=\"3000\" height=\"2068\"><\/a><p id=\"caption-attachment-29265\" class=\"wp-caption-text\">LA CVE-2023-22515: alto nivel de gravedad y explotaci\u00f3n. <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-22515\" target=\"_blank\" rel=\"nofollow noopener\">Fuente<\/a>.<\/p><\/div>\n<p>Solo est\u00e1n en riesgo las organizaciones que utilizan Atlassian Confluence Data Center y Confluence Server en local; por lo que los clientes de Confluence Cloud no se ver\u00e1n afectados. La vulnerabilidad tampoco afecta a las versiones de Confluence Data Center y Confluence Server anteriores a la 8.0.0. A continuaci\u00f3n, te mostramos la lista completa de versiones vulnerables seg\u00fan Atlassian:<\/p>\n<ul>\n<li>0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4<\/li>\n<li>1.0, 8.1.1, 8.1.3, 8.1.4<\/li>\n<li>2.0, 8.2.1, 8.2.2, 8.2.3<\/li>\n<li>3.0, 8.3.1, 8.3.2<\/li>\n<li>4.0, 8.4.1, 8.4.2<\/li>\n<li>5.0, 8.5.1<\/li>\n<\/ul>\n<h2>Su explotaci\u00f3n en activo y la PoC en GitHub<\/h2>\n<p>El principal problema de esta vulnerabilidad es que resulta extremadamente f\u00e1cil de explotar. Por no hablar del hecho de que un ataque exitoso a un servidor vulnerable no requiere ni siquiera acceso a una cuenta, lo que ampl\u00eda significativamente el alcance de la actividad del atacante.<\/p>\n<p>La caracter\u00edstica clave del ataque consiste en que las versiones vulnerables de Confluence Data Center y Confluence Server permiten a los atacantes cambiar el valor del atributo de\u00a0<code>bootstrapStatusProvider.applicationConfig.setupComplete<\/code> a <code>falso<\/code> sin necesidad de autenticarse en el servidor. Al hacerlo, reinician la etapa de configuraci\u00f3n del servidor y son libres de crear sus propias cuentas de administrador.<\/p>\n<div id=\"attachment_29266\" style=\"width: 1870px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2023\/10\/24134245\/confluence-data-center-server-vulnerability-2.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-29266\" class=\"wp-image-29266 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2023\/10\/24134245\/confluence-data-center-server-vulnerability-2.png\" alt=\"Caracter\u00edstica clave de la explotaci\u00f3n de la CVE-2023-22515\" width=\"1860\" height=\"508\"><\/a><p id=\"caption-attachment-29266\" class=\"wp-caption-text\">Caracter\u00edstica clave de la explotaci\u00f3n de la vulnerabilidad en Confluence Data Center y Confluence Server. <a href=\"https:\/\/github.com\/vulhub\/vulhub\/tree\/master\/confluence\/CVE-2023-22515\" target=\"_blank\" rel=\"nofollow noopener\">Fuente<\/a>.<\/p><\/div>\n<p>Ten en cuenta que no estamos hablando solo de una teor\u00eda: ya se est\u00e1n llevando a cabo ataques reales. De hecho, una semana despu\u00e9s de que se hiciera p\u00fablica la informaci\u00f3n sobre la CVE-2023-22515, el equipo de Microsoft Threat Intelligence <a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1711871732644970856\" target=\"_blank\" rel=\"nofollow noopener\">observ\u00f3<\/a> c\u00f3mo un grupo de APT ya andaba explotando esta vulnerabilidad.<\/p>\n<div id=\"attachment_29267\" style=\"width: 1196px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2023\/10\/24134407\/confluence-data-center-server-vulnerability-3.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-29267\" class=\"wp-image-29267 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2023\/10\/24134407\/confluence-data-center-server-vulnerability-3.png\" alt=\"Alerta de Microsoft Threat Intelligence sobre la explotaci\u00f3n de la CVE-2023-22515 por parte de Storm-0062 (tambi\u00e9n conocido como DarkShadow, Oro0lxy)\" width=\"1186\" height=\"528\"><\/a><p id=\"caption-attachment-29267\" class=\"wp-caption-text\">Alerta de Microsoft Threat Intelligence sobre la explotaci\u00f3n de la CVE-2023-22515 en activo. <a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1711871732644970856\" target=\"_blank\" rel=\"nofollow noopener\">Fuente<\/a>.<\/p><\/div>\n<p>Como ya hemos comentado, esta vulnerabilidad en Confluence Data Center y Confluence Server resulta extremadamente f\u00e1cil de explotar. Esto significa que no s\u00f3lo los atacantes de APT altamente cualificados pueden hacerlo, sino tambi\u00e9n <a href=\"https:\/\/www.kaspersky.com\/blog\/social-engineering-cases\/48697\/\" target=\"_blank\" rel=\"nofollow noopener\">cualquier colegial aburrido<\/a>. Ya ha aparecido en GitHub una <a href=\"https:\/\/github.com\/vulhub\/vulhub\/tree\/master\/confluence\/CVE-2023-22515\" target=\"_blank\" rel=\"nofollow noopener\">prueba de concepto de la explotaci\u00f3n de la CVE-2023-22515<\/a>, completa con un <a href=\"https:\/\/github.com\/Chocapikk\/CVE-2023-22515\" target=\"_blank\" rel=\"nofollow noopener\">script en Python<\/a> para una explotaci\u00f3n sencilla y a escala masiva. Por tanto, todo lo que tiene que hacer el atacante es introducir una lista de direcciones de servidores de destino en la secuencia de comandos.<\/p>\n<h2>C\u00f3mo proteger tu infraestructura contra la CVE-2023-22515<\/h2>\n<p>Siempre que sea posible, debes actualizar tu Confluence Data Center o Confluence Server a una versi\u00f3n en la que vulnerabilidad ya est\u00e9 parcheada (8.3.3, 8.4.3, 8.5.2) o a una versi\u00f3n posterior dentro de la misma rama.<\/p>\n<p>Si no puedes actualizar la versi\u00f3n, te recomendamos eliminar los servidores Confluence vulnerables del acceso p\u00fablico; es decir, desactivar el acceso a ellos desde redes externas hasta que se instale la actualizaci\u00f3n.<\/p>\n<p>Si tampoco puedes, una medida provisional puede consistir en mitigar la amenaza bloqueando el acceso a las p\u00e1ginas de configuraci\u00f3n. Para m\u00e1s informaci\u00f3n, puedes visitar la propia <a href=\"https:\/\/confluence.atlassian.com\/security\/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html\" target=\"_blank\" rel=\"nofollow noopener\">advertencia de Atlassian<\/a>. Sin embargo, cabe destacar que esta opci\u00f3n no elimina la necesidad de actualizar Confluence Data Center o Confluence Server: solo frustra temporalmente un vector de ataque conocido.<\/p>\n<p>Adem\u00e1s, se recomienda a las organizaciones que utilizan Confluence Data Center y Confluence Server que comprueben si esta vulnerabilidad ya se ha utilizado en ataques anteriores en su contra. Algunos indicios de explotaci\u00f3n de la CVE-2023-22515 son:<\/p>\n<ul>\n<li>Que aparezcan nuevos y sospechosos miembros en el grupo <code>confluence-administrators<\/code><\/li>\n<li>Las cuentas de usuario reci\u00e9n creadas que no estaban previstas<\/li>\n<li>Las solicitudes para <code>\/setup\/*.action<\/code>, es decir, configurar nuevas acciones en los registros de acceso a la red<\/li>\n<li>La presencia del comando\u00a0<code>\/setup\/setupadministrator.action<\/code> para establecer una acci\u00f3n de administrador en un mensaje de excepci\u00f3n en\u00a0<code>atlassian-confluence-security.log<\/code> del directorio principal de Confluence.<\/li>\n<\/ul>\n<p>Ten en cuenta que es poco probable que el objetivo principal de los atacantes sea obtener el control sobre Confluence a trav\u00e9s de la explotaci\u00f3n de la CVE-2023-22515. Pero s\u00ed puede servir como punto de apoyo para lanzar nuevos ataques a los sistemas de informaci\u00f3n de la empresa.<\/p>\n<p>Para supervisar las actividades sospechosas que tengan lugar en tu infraestructura corporativa, utiliza una <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/endpoint-detection-response-edr?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de EDR (detecci\u00f3n y respuesta de endpoint)<\/a>. Si tu equipo de seguridad de la informaci\u00f3n carece de los recursos necesarios, siempre puedes subcontratar el trabajo a un <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/managed-detection-and-response?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">servicio externo<\/a>, que andar\u00e1 constantemente en busca de amenazas que se dirijan a tu organizaci\u00f3n y responder\u00e1 a estas de manera oportuna.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>Ha llegado la hora de actualizar Confluence Data Center y Confluence Server: contienen una vulnerabilidad grave que permite la creaci\u00f3n sin autorizaci\u00f3n de cuentas de administrador.<\/p>\n","protected":false},"author":2726,"featured_media":29264,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,2202,2754],"tags":[463,378,3333,3597,61,784],"class_list":{"0":"post-29263","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"tag-actualizaciones","11":"tag-amenazas","12":"tag-atlassian","13":"tag-confluence","14":"tag-seguridad","15":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/confluence-data-center-server-vulnerability\/29263\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/confluence-data-center-server-vulnerability\/26524\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/21957\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/29224\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/confluence-data-center-server-vulnerability\/26802\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/26767\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/confluence-data-center-server-vulnerability\/36447\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/49404\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/confluence-data-center-server-vulnerability\/21106\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/confluence-data-center-server-vulnerability\/21917\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/confluence-data-center-server-vulnerability\/30603\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/confluence-data-center-server-vulnerability\/27103\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/confluence-data-center-server-vulnerability\/32811\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/confluence-data-center-server-vulnerability\/32461\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/29263","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=29263"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/29263\/revisions"}],"predecessor-version":[{"id":29269,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/29263\/revisions\/29269"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/29264"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=29263"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=29263"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=29263"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}