Η αυστραλιανή εταιρεία λογισμικού Atlassian κυκλοφόρησε ενημερώσεις ασφαλείας έκτακτης ανάγκης για να διορθώσει μια ευπάθεια μέγιστης σοβαρότητας zero-day στο λογισμικό Confluence Data Center και το λογισμικό διακομιστή, το οποίο έχει εκμεταλλευτεί σε επιθέσεις.
“Η Atlassian ενημερώθηκε για ένα ζήτημα που αναφέρθηκε από μια χούφτα πελάτες όπου εξωτερικοί εισβολείς μπορεί να έχουν εκμεταλλευτεί μια προηγουμένως άγνωστη ευπάθεια σε δημόσια προσβάσιμα στιγμιότυπα του Κέντρου Δεδομένων και Διακομιστή Confluence για να δημιουργήσουν μη εξουσιοδοτημένους λογαριασμούς διαχειριστή Confluence και να έχουν πρόσβαση σε παρουσίες Confluence”, η εταιρεία
είπε
.
“Οι ιστότοποι του Atlassian Cloud δεν επηρεάζονται από αυτήν την ευπάθεια. Εάν ο ιστότοπός σας Confluence έχει πρόσβαση μέσω ενός τομέα atlassian.net, φιλοξενείται από το Atlassian και δεν είναι ευάλωτος σε αυτό το ζήτημα.”
Παρακολούθηση
ως
CVE-2023-22515
αυτό το κρίσιμο ελάττωμα κλιμάκωσης προνομίων επηρεάζει το Confluence Data Center και τον διακομιστή 8.0.0 και νεότερες εκδόσεις και περιγράφεται ως απομακρυσμένα εκμεταλλεύσιμο σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
Συνιστάται στους πελάτες που χρησιμοποιούν ευάλωτες εκδόσεις Confluence Data Center και Server να αναβαθμίσουν τις παρουσίες τους το συντομότερο δυνατό σε μία από τις σταθερές εκδόσεις (δηλαδή, 8.3.3 ή νεότερη, 8.4.3 ή νεότερη, 8.5.2 ή νεότερη).
Εκτός από την αναβάθμιση και την
εφαρμογή
μέτρων μετριασμού, η Atlassian προτρέπει επίσης τους πελάτες να κλείσουν τις επηρεαζόμενες παρουσίες ή να τις απομονώσουν από την πρόσβαση στο Διαδίκτυο εάν δεν είναι δυνατή η άμεση
ενημέρωση
κώδικα.
Οι διαχειριστές μπορούν να αφαιρέσουν γνωστά διανύσματα επίθεσης που σχετίζονται με αυτήν την ευπάθεια αποτρέποντας την πρόσβαση στα τελικά σημεία /setup/* σε στιγμιότυπα Confluence.
«Οι περιπτώσεις στο δημόσιο Διαδίκτυο κινδυνεύουν ιδιαίτερα, καθώς αυτή η ευπάθεια μπορεί να εκμεταλλευτεί ανώνυμα», πρόσθεσε ο Atlassian.
Συνιστάται στους διαχειριστές να ελέγχουν για σημάδια παραβίασης
Η εταιρεία συνιστά επίσης τον έλεγχο όλων των περιπτώσεων Confluence για δείκτες συμβιβασμού, συμπεριλαμβανομένων:
- απροσδόκητα μέλη της ομάδας συρροής-διαχειριστή
- απροσδόκητους νέους λογαριασμούς χρηστών
- αιτήματα για /setup/*.action στα αρχεία καταγραφής πρόσβασης δικτύου
- παρουσία του /setup/setupadministrator.action σε ένα μήνυμα εξαίρεσης στο atlassian-confluence-security.log στον κεντρικό κατάλογο Confluence
Με την κυκλοφορία μιας ενημερωμένης έκδοσης κώδικα, υπάρχει αυξημένη πιθανότητα οι φορείς απειλών να διαφοροποιήσουν τις ενημερώσεις κώδικα ασφαλείας που έχουν κυκλοφορήσει για να ανακαλύψουν την επιδιορθωμένη αδυναμία, επιταχύνοντας ενδεχομένως τη δημιουργία ενός χρησιμοποιήσιμου exploit.
Η άμεση ασφάλεια των διακομιστών Confluence είναι εξαιρετικά σημαντική, λαμβάνοντας υπόψη την ελκυστικότητά τους στο παρελθόν για κακόβουλους παράγοντες, με προηγούμενα περιστατικά που αφορούσαν AvosLocker και Cerber2021 ransomware,
κακόβουλο λογισμικό
botnet
Linux και εξορύκτες κρυπτογράφησης που υπογραμμίζουν τον επείγοντα χαρακτήρα του θέματος.
Πέρυσι, η CISA διέταξε τις ομοσπονδιακές υπηρεσίες να επιδιορθώσουν μια άλλη κρίσιμη ευπάθεια Confluence (CVE-2022-26138) που εκμεταλλεύτηκε στην άγρια φύση, με βάση προηγούμενες ειδοποιήσεις από την εταιρεία κυβερνοασφάλειας
Rapid7
και εταιρεία πληροφοριών απειλών
GreyNoise
.