Notícias
RECOMENDAÇÃO 15/2023
[TLP:CLEAR]
1. Foram identificadas vulnerabilidades no Confluence Server e Confluence Data Center, software de colaboração desenvolvido pela empresa Atlassian. Sistemas vulneráveis podem ser explorados remotamente e um atacante pode obter acesso ao servidor, conforme a Common Vulnerabilities and Exposures:
2. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) recomenda às instituições da Administração Pública Federal (APF) que utilizam o Confluence Server / Data Center a atualização imediata da aplicação. Informações técnicas e maiores detalhes a respeito da atualização podem ser consultados em:
- https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html
- https://confluence.atlassian.com/doc/upgrading-confluence-4578.html
3. Recomenda-se, ainda, a busca por evidências de comprometimento de sistemas, como a existência de membros desconhecidos no grupo "confluence-administrators", contas de usuários suspeitos recém criadas no sistema, requisições ao arquivo "/setup/*.action" nos logs de acesso ou ainda a presença de mensagens referentes ao "/setup/setupadministrator.action" no arquivo "atlassian-confluence-security.log". A detecção destes IoC's indica atividade maliciosa e ações de contenção devem ser executadas.
4. Os administradores de instâncias afetadas pela CVE-2023-22515 devem ainda monitorar o acesso à aplicação até que as atualizações de segurança sejam aplicadas. Ações de mitigação até que o processo de atualização seja finalizado envolvem a restrição do acesso externo à instância afetada e o bloqueio de acesso aos endpoints /setup/* nas instâncias do Confluence, conforme detalhado no aviso de segurança citado no item 2.
5. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST). Para mais informações, acesse:
Equipe CTIR Gov
[TLP:CLEAR]