Uma falha de segurança crítica recentemente divulgada, que afeta o Atlassian Confluence Data Center e o Confluence Server, está sendo ativamente explorada por atores maliciosos.

A vulnerabilidade, identificada como CVE-2023-22527 e com uma pontuação CVSS de 10.0, impacta versões desatualizadas do software e permite que atacantes não autenticados executem código remotamente em instalações suscetíveis.

A falha afeta as versões do Confluence Data Center e Server 8 lançadas antes de 5 de dezembro de 2023, bem como a versão 8.4.5. Em apenas três dias após a divulgação pública da falha, quase 40.000 tentativas de exploração visando a CVE-2023-22527 foram registradas, começando em 19 de janeiro, a partir de mais de 600 endereços IP únicos, conforme relatado pela Shadowserver Foundation e pelo DFIR Report.

Atualmente, a atividade se limita a “tentativas de callback de teste e execução de ‘whoami’”, sugerindo que os atores de ameaças estão escaneando oportunisticamente servidores vulneráveis para explorações subsequentes. A maioria dos endereços IP dos atacantes é da Rússia (22.674), seguida por Cingapura, Hong Kong, EUA, China, Índia, Brasil, Taiwan, Japão e Equador. Mais de 11.000 instâncias da Atlassian foram encontradas acessíveis pela internet até 21 de janeiro de 2024, embora atualmente não se saiba quantas delas são vulneráveis à CVE-2023-22527.