Vulnerabilidad Crítica en Atlassian Confluence Permite Ejecución Remota de Código

Los investigadores de Trend Micro han descubierto una amplia campaña de criptojacking, un tipo de ataque cibernético en el que los atacantes usan recursos de computadoras ajenas para minar criptomonedas sin permiso. Esta campaña está aprovechando una vulnerabilidad crítica en Atlassian Confluence Data Center y Confluence Server, que son herramientas populares para colaborar y gestionar contenido en empresas.

La vulnerabilidad en cuestión, CVE-2023-22527 con una puntuación CVSS perfecta de 10, es una falla de ejecución remota de código. Esto significa que un atacante puede ejecutar código malicioso en el sistema afectado sin necesidad de tener credenciales válidas. En este caso, la vulnerabilidad permite a los atacantes inyectar comandos a través de una técnica llamada OGNL (Object-Graph Navigation Library), comprometiendo completamente el sistema.

Los atacantes están usando esta vulnerabilidad para instalar malware de minería de criptomonedas, lo que les permite tomar control de los recursos computacionales del sistema comprometido y generar criptomonedas para su propio beneficio. Este tipo de ataque no solo afecta el rendimiento del sistema, sino que también puede poner en riesgo datos sensibles y otras operaciones críticas.

Productos afectados:

ProductoVersiones Afectadas
Confluence Data Center and Server8.0.x
8.1.x
8.2.x
8.3.x
8.4.x
8.5.0-8.5.3

Solución:

ProductoVersiones fijasÚltimas versiones
Confluence Data Center and Server8.5.4 (LTS)8.5.5 (LTS)
Confluence Data Center8.6.0 (solo Data Center)
8.7.1 (Solo Data Center)
8.7.2 (Solo Data Center)

Recomendaciones:

  • Asegurarse de tener la versión más reciente de Atlassian Confluence para corregir esta vulnerabilidad.
  • Revisar los sistemas en busca de actividad sospechosa y realiza auditorías periódicas.
  • Implementar medidas de seguridad adicionales como la segmentación de red y herramientas de detección de amenazas.

Referencias: