CVE-2023-22515 y CVE-2023-22518 son vulnerabilidades críticas encontradas en Atlassian Confluence, un software de colaboración en equipo ampliamente utilizado.
CVE-2023-22515
- Descripción : esta vulnerabilidad se descubrió en instancias de servidor y centro de datos de Confluence de acceso público. Los atacantes lo aprovecharon para crear cuentas de administrador de Confluence no autorizadas y acceder a instancias de Confluence. Esta vulnerabilidad no afectó a los sitios de Atlassian Cloud.
- Gravedad : Tiene una puntuación base crítica de 9,8 o 10,0, lo que indica un alto nivel de riesgo. La notación vectorial muestra que el vector de ataque está basado en la red (AV:N), con baja complejidad de ataque (AC:L), no se requieren privilegios (PR:N) y no se necesita interacción del usuario (UI:N). Afecta en gran medida la confidencialidad, la integridad y la disponibilidad.
CVE-2023-22518
- Descripción : esta vulnerabilidad de autorización incorrecta afecta a todas las versiones de Confluence Data Center y Server. Permite a un atacante no autenticado restablecer Confluence y crear una cuenta de administrador. Con este acceso, el atacante puede realizar todas las acciones administrativas, lo que podría comprometer por completo la confidencialidad, la integridad y la disponibilidad. Al igual que CVE-2023-22515, los sitios de Atlassian Cloud no se ven afectados.
- Gravedad : La puntuación base es de 9,8, clasificándola como críticamente grave. Los componentes del vector son similares a CVE-2023-22515, lo que destaca el vector de ataque basado en red de la vulnerabilidad, su baja complejidad, no requiere privilegios, no interactúa con el usuario y tiene un impacto significativo en la confidencialidad, la integridad y la disponibilidad.
Estas vulnerabilidades pueden ser particularmente peligrosas ya que pueden aprovecharse para instalar puertas traseras en los sistemas afectados. Una puerta trasera es un método para eludir los procedimientos de autenticación normales, a menudo instalado en secreto por un usuario no autorizado. Una vez instalada una puerta trasera, los atacantes pueden acceder y controlar de forma remota los sistemas afectados, lo que lleva al robo de datos, el espionaje o un mayor compromiso de la red.
Explotación de CVE-2023-22515 y CVE-2023-22518
Los atacantes pueden utilizar estas vulnerabilidades para obtener acceso administrativo no autorizado a Confluence. Con dicho acceso, potencialmente pueden instalar software malicioso o scripts (como web shells) que actúan como puertas traseras. Estas puertas traseras pueden permanecer operativas incluso después de parchear la vulnerabilidad original, ya que crean un punto de acceso oculto e independiente que el parche no aborda.
Los servicios de respuesta a incidentes Stroz Friedberg de Aon encontraron un nuevo tipo de malware llamado “Effluence”, diseñado para explotar una vulnerabilidad en Atlassian Confluence. Este malware actúa como una puerta trasera persistente, lo que permite a los atacantes mantener el acceso al sistema incluso después de que se apliquen parches a Confluence. Permite el movimiento lateral a través de recursos de red y la filtración de datos sin requerir autenticación en Confluence, lo que lo hace particularmente insidioso y difícil de detectar.
Stroz Friedberg descubrió este malware mientras ayudaba a un cliente que tenía un servidor vulnerable del Atlassian Confluence Data Center. El atacante utilizó la vulnerabilidad para obtener acceso no autorizado e incrustar un shell web único en el servidor, lo que le permitió acceso persistente a todas las páginas web del servidor sin necesidad de una cuenta de usuario válida. Esto se diferencia de los shells web típicos, a los que normalmente solo se puede acceder si el usuario ha iniciado sesión en Confluence o si una sola página web se ha visto comprometida.
El shell web “Effluence” secuestra el servidor web Apache Tomcat subyacente, insertándose entre Confluence y Tomcat. Esta configuración hace que el malware esté disponible en todas las páginas web, incluida la página de inicio de sesión no autenticada, sin alterar las páginas web ni realizar cambios notables. Permanece sin ser detectado hasta que una solicitud coincida con parámetros específicos.
El malware consta de dos partes: un cargador y una carga útil. El cargador se disfraza de un complemento normal de Confluence, pero lleva una clase de colecciones Java legítima modificada para ocultar su carga maliciosa. La carga útil, cuando se activa, oculta el complemento entre las “Aplicaciones del sistema” de Confluence para evitar la detección. Este enfoque sofisticado garantiza que la clase Java sin formato nunca se escriba en el sistema de archivos, lo que complica aún más los esfuerzos de detección.
Para la detección, Stroz Friedberg recomienda revisar los registros de acceso al servidor web, especialmente el acceso a páginas estáticas de Confluence donde el tamaño de la respuesta varía. Sin embargo, este método no proporciona indicadores de compromiso (IOC) claros. También desarrollaron una regla de Yara para detectar el shell web en imágenes de memoria conservadas del servidor, que es un enfoque más directo para identificar la presencia del malware.
Stroz Friedberg también señala que aún no se ha determinado hasta qué punto este malware afecta a otros productos de Atlassian. El complemento y el mecanismo de carga parecen depender de las API comunes de Atlassian, lo que sugiere la posible aplicabilidad de este malware a otros productos de Atlassian como JIRA y BitBucket. La vulnerabilidad CVE-2023-22515 en Atlassian Confluence permite a los atacantes obtener acceso no autorizado a las áreas administrativas del servidor Confluence. Estas vulnerabilidades son explotadas por el malware de puerta trasera “Effluence”. Una vez que se implanta este malware, actúa como una puerta trasera persistente, lo que significa que puede mantener el acceso al sistema incluso después de que se apliquen parches de seguridad a Confluence. La razón por la que no se puede eliminar mediante un parche es porque el malware se incrusta profundamente en el sistema, entre Confluence y el servidor web Apache Tomcat subyacente, lo que lo hace disponible en todas las páginas web y es difícil de detectar. Los parches generalmente abordan la vulnerabilidad inicial, pero es posible que no eliminen el malware que ya aprovechó esa vulnerabilidad y estableció una presencia más profunda en el sistema.
Este caso ejemplifica la naturaleza en continua evolución de las amenazas cibernéticas y subraya la necesidad de que las organizaciones mantengan la vigilancia, empleen métodos de detección sólidos y actualicen periódicamente sus estrategias de ciberseguridad para contrarrestar ataques tan sofisticados.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.