El pasado 2 de junio, la empresa Volexity y sus “cazadores de virus” hicieron pública una vulnerabilidad de tipo Zero-Day en Confluence, el software colaborativo para el trabajo en remoto, compartir y crear documentos e intercambiar información, comercializado por Atlassian.

Esta vulnerabilidad ha sido nombrada como CVE-2022-26134 y ha afectado a varios productos de Atlassian como son Confluence Server y Confluence Data Center. Tras hacerse pública esta vulnerabilidad, los investigadores de Barracuda Networks han analizado todos los datos disponibles y han descubierto un gran número de intentos para explotar esta vulnerabilidad por parte de ciberhackers. Estos intentos de explotar el CVE-2022-26134 pasan desde lo que se conoce como ‘reconocimiento benigno’ hasta algunos intentos más complejos para infectar diferentes sistemas a través de malware de botnet, DDoS y/o criptomineros.

Los análisis de Barracuda han determinado que esta vulnerabilidad lleva siendo explotada a través de un flujo constante de ataques a lo largo del tiempo, con un pico de actividad importante y destacado el 13 de junio. Los investigadores prevén que por el momento este flujo de ataques continuará en el corto plazo.

Atlassian Confluence es un software que permite crear, intercambiar y proporcionar documentos en un entorno colaborativo. El 2 de junio se hizo pública la información por parte Volexity y ya el fin de semana siguiente la vulnerabilidad estaba siendo explotada por hackers y diferentes agentes que se habían dado cuenta de la brecha de seguridad y de la “oportunidad” que eso generaba. La vulnerabilidad CVE-2022-26134 permite a los ciberatacantes crear nuevas cuentas administrativas dentro de la herramienta, ejecutar diferentes permisos administrativos y hacerse con el control de los servidores.

Los principales ataques e intentos de explotación de esta vulnerabilidad se originaron principalmente en Rusia, Estados Unidos, India, Países Bajos y Alemania, según ofrecieron los datos de las direcciones IP investigadas. Como se ha podido ver en investigaciones anteriores, los ataques provenientes de direcciones IP norteamericanas provienen principalmente de servicios y proveedores de la nube. De igual manera, los ataques provenientes de Alemania proceden de servidores de alojamiento y almacenamiento.

.

Cómo protegerse contra este tipo de ataques

Como se ha señalado anteriormente, el nivel de interés en esta vulnerabilidad se mantiene constante con picos ocasionales, y los investigadores de Barracuda Networks esperan ver exploraciones e intentos de explotación durante algún tiempo. Dado que el interés de los ciberdelincuentes es tan alto, es importante tomar medidas para proteger los sistemas:

– A través de parches: El momento ideal para aplicar los parches es ahora, especialmente si el sistema está orientado a Internet de alguna manera.

– Cortafuegos de aplicaciones web (WAF): la colocación de un cortafuegos de aplicaciones web o Web Application Firewall frente a estos sistemas contribuirá a la defensa en profundidad contra los ataques Zero-Day y otras vulnerabilidades.