Las amenazas cibernéticas evolucionan a un ritmo vertiginoso, poniendo a prueba la resiliencia de las empresas y la robustez de las soluciones tecnológicas. Un ejemplo reciente de esta dinámica es el aprovechamiento de un error crítico en Atlassian Confluence para desplegar ataques de ransomware Cerber, una situación que destaca la importancia de la vigilancia continua y la respuesta rápida ante vulnerabilidades de software. En este artículo exploraremos el caso concreto de Atlassian Confluence, desglosando el problema y ofreciendo orientación sobre cómo las organizaciones pueden protegerse contra amenazas similares.
Antes de adentrarnos en la naturaleza del error y los ataques resultantes, es crucial entender qué es Atlassian Confluence. Confluence es una plataforma de colaboración ampliamente utilizada que permite a los equipos trabajar conjuntamente en proyectos, compartir conocimientos y mantener la documentación de forma organizada. La popularidad de Confluence, como es el caso de muchas otras plataformas de colaboración, se ha disparado en el entorno de trabajo actual, donde la colaboración remota y digital es la norma.
Los ciberdelincuentes están aprovechando un fallo crítico recién parcheado en Atlassian Confluence, que permitía omitir la autenticación, para lanzar ataques de ransomware Cerber y cifrar archivos de las víctimas.
Identificada por Atlassian como una falla de autorización inapropiada y catalogada como CVE-2023-22518, la vulnerabilidad ha sido calificada con un alto nivel de gravedad de 9.1 sobre 10 y compromete a todas las versiones de Confluence Data Center y Server.
Atlassian emitió parches de seguridad, instando a los administradores a actualizar de forma urgente todas las instalaciones afectadas debido a que la vulnerabilidad podría permitir también la eliminación de datos. "En nuestra constante evaluación de seguridad, hemos detectado que Confluence Data Center y Server podrían sufrir una considerable pérdida de datos si un atacante no autenticado explota esta vulnerabilidad", expresó Bala Sathiamurthy, CISO de Atlassian.
De acuerdo con los datos del servicio de monitoreo de amenazas ShadowServer, más de 24,000 instancias de Confluence están actualmente expuestas en internet. No obstante, no se puede determinar cuántas de ellas son susceptibles al CVE-2023-22518.
Te podría interesar leer: Identificando vulnerabilidades: El poder de las CVE
Atlassian actualizó su notificación para alertar que tras la divulgación del exploit de prueba de concepto (PoC), los atacantes habían comenzado a dirigirse a la vulnerabilidad identificada en sus ataques. "Un cliente nos informó de un exploit en curso. Es crítico que los usuarios protejan sus sistemas de inmediato. Si el parche ya está aplicado, no es necesario tomar acciones adicionales", indicó la empresa.
Durante el fin de semana, GreyNoise, una firma de inteligencia de amenazas, notificó una explotación masiva del CVE-2023-22518 a partir del domingo 5 de noviembre. La empresa de ciberseguridad Rapid7 también detectó ataques a servidores de Atlassian Confluence expuestos a la red con exploits que aprovechan tanto la omisión de autenticación CVE-2023-22518 como una vulnerabilidad más antigua de escalada de privilegios (CVE-2023-22515), que fue explotada anteriormente en ataques de día cero.
"Desde el 5 de noviembre de 2023, el servicio de Detección y Respuesta Gestionada (MDR) de Rapid7 está observando la explotación de Atlassian Confluence en varios entornos de clientes, incluyendo casos donde se despliega ransomware", comunicó Rapid7.
"Rapid7 ha identificado en varias secuencias de ataque la ejecución de un comando post-explotación que descarga un payload malicioso desde las direcciones IP 193.43.72[.]11 y/o 193.176.179[.]41, lo cual, de ser exitoso, desencadena la implementación del ransomware Cerber en el servidor de Confluence afectado".
El mes pasado, CISA, el FBI y el Centro de análisis e intercambio de información multiestatal (MS-ISAC) publicaron una alerta conjunta, instando a los administradores de red a asegurar inmediatamente los servidores de Atlassian Confluence contra el error de escalada de privilegios CVE-2023-22515, que ha sido explotado activamente desde al menos el 14 de septiembre, de acuerdo a un informe de Microsoft.
El ransomware Cerber, también conocido como CerberImposter, fue utilizado en ataques dirigidos a servidores de Atlassian Confluence hace dos años, explotando una vulnerabilidad de ejecución remota de código (CVE-2021-26084), la cual había sido previamente explotada para instalar software de minería de criptomonedas.
Podría interesarte leer: Detección de Ataques de Ransomware con Wazuh
La prevención y mitigación de ataques de ransomware comienza con la comprensión de que la seguridad es una práctica constante, no un estado a alcanzar. A continuación, se presentan pasos esenciales para protegerse contra tales amenazas.
Actualizaciones y Parches: Mantener el software actualizado con los últimos parches de seguridad es fundamental. Los fabricantes de software como Atlassian a menudo lanzan actualizaciones que corrigen vulnerabilidades tan pronto como son descubiertas.
Copias de Seguridad Robustas: Implementar una estrategia de copias de seguridad sólida puede salvar a una empresa de la ruina. Es vital mantener copias de seguridad regulares, aisladas de la red principal, para que no sean accesibles para el ransomware.
Formación y Concienciación: Los trabajadores deben estar formados para reconocer intentos de phishing y otras tácticas comunes utilizadas para desplegar ransomware. La concienciación puede prevenir la introducción de malware en la red.
Defensas en Profundidad: Utilizar un enfoque de defensa en profundidad que incluya firewalls, antivirus, sistemas de detección y prevención de intrusos (IDS/IPS), y otras capas de seguridad.
Te podría interesar leer: Suricata IDS IPS: Rendimiento y Seguridad de la Red
Los ataques de ransomware como los que involucran a Cerber son un recordatorio oportuno de que la ciberseguridad no es solo un problema técnico, sino una prioridad empresarial. Al mantener una vigilancia constante, aplicar mejores prácticas de seguridad y responder rápidamente a las amenazas emergentes, las organizaciones pueden fortalecer su postura de seguridad y salvaguardar sus activos críticos. La vulnerabilidad en Atlassian Confluence es solo un ejemplo de las muchas amenazas que acechan en el ciberespacio, pero con la preparación adecuada y la diligencia continua, las empresas pueden enfrentar estos desafíos y mantener la continuidad y la integridad de sus operaciones.