Con el software wiki comercial de la empresa australiana Atlassian, un Vulnerabilidad de seguridad de día cero se han dado a conocer. Se dice que ya se ha producido una explotación activa.

Descubrimiento de la vulnerabilidad

La vulnerabilidad actual fue descubierta por una empresa de seguridad a finales de mayo. Descubrieron que los atacantes utilizaban la vulnerabilidad para instalar una webshell en los servidores de los clientes. Según el informe, varios grupos de China han explotado la vulnerabilidad de seguridad de día cero. Se dice que todas las versiones actuales de Confluence están afectadas.

El 3 de junio, Atlassian publicó recomendaciones de actuación para los usuarios en su propio sitio web de soporte de Confluence.

Atlassian ya ha proporcionado una actualización para corregir la vulnerabilidad.Ya hemos actualizado con éxito las instalaciones de los clientes a la última versión 7.18.1. actualización:

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html?utm_source=alert-email&utm_medium=email&utm_campaign=Confluence%20Server%20and%20Data%20Center-advisory-june-2022_EML-13330&jobid=105603018&subid=1530219343

Recomendamos que todas las instalaciones afectadas que estuvieran disponibles en Internet busquen intensamente en los servidores webshells y rastros de ataques (por ejemplo, en archivos de registro y configuraciones), a menos que estuvieran utilizando soluciones de contenedor como Docker y, por lo tanto, se deshicieran del contenedor antiguo al actualizarlo y sólo se hicieran cargo de los datos, que es como lo hemos solucionado.

Disminuye la calidad y seguridad del código en Atlassian

Atlassian sufrió una interrupción prolongada en abril. Los servicios en la nube se vieron afectados, de modo que herramientas como Jira y Confluence no estuvieron disponibles hasta 14 días. Sin embargo, esto sólo se debió a un script defectuoso que podía arreglarse. El error en el script había provocado que se aceptaran y eliminaran ID de aplicaciones o sitios sin una segunda solicitud. Sin embargo, este error no se reconoció hasta más tarde, por lo que inicialmente se produjo una interrupción de larga duración. Según Atlassian, quería aprender de estos errores. Unos 775 clientes se vieron afectados por los efectos del script defectuoso.

¿Qué pueden hacer los afectados?

Mientras no haya una solución oficial del fabricante para estas vulnerabilidades de seguridad de día cero, se aconseja a los administradores que restrinjan severamente el acceso al servidor Confluence o que lo apaguen por completo. Ya habíamos tenido conocimiento de la vulnerabilidad el viernes a través de una suscripción al boletín de seguridad de Atlassian y pudimos cerrar las instancias de los clientes gracias a unas buenas cadenas de alerta.

Básicamente, una aplicación que necesita estar disponible en Internet para funcionar es más susceptible de sufrir problemas de seguridad de la información. A las empresas en particular les conviene más un sistema autoalojado en la intranet, no soluciones basadas en Internet, si la necesidad de protección es alta.

Advertencias sobre la vulnerabilidad

En Estados Unidos también circulan advertencias sobre esta vulnerabilidad. La Agencia de Ciberseguridad y Seguridad de la Información (CISA) exigió que todas las agencias federales interrumpieran el tráfico de datos a los servidores de Confluence.

¿Su empresa necesita apoyo experto en materia de seguridad y protección de datos? Nuestro equipo de expertos estará encantado de ayudarle.

DSB buchen
es_ESEspañol