Η Atlassian προειδοποίησε τους διαχειριστές ότι μια δημόσια εκμετάλλευση είναι πλέον διαθέσιμη για ένα κρίσιμο ελάττωμα ασφάλειας Confluence που μπορεί να χρησιμοποιηθεί σε επιθέσεις καταστροφής δεδομένων που στοχεύουν παρουσίες που εκτίθενται στο Διαδίκτυο και δεν έχουν επιδιορθωθεί.
Παρακολούθηση ως CVE-2023-22518, πρόκειται για μια ακατάλληλη ευπάθεια εξουσιοδότησης με βαθμολογία σοβαρότητας 9,1/10 που επηρεάζει όλες τις εκδόσεις του λογισμικού Confluence
Data
Center και Confluence Server.
Η Atlassian προειδοποίησε σε μια ενημέρωση της αρχικής προειδοποίησης ότι βρήκε μια δημόσια διαθέσιμη εκμετάλλευση που θέτει σε κρίσιμο κίνδυνο τις εμφανίσεις που είναι προσβάσιμες στο κοινό.
«Στο πλαίσιο της συνεχούς παρακολούθησης αυτού του CVE από την Atlassian, παρατηρήσαμε δημοσιευμένες κρίσιμες πληροφορίες σχετικά με την ευπάθεια που αυξάνει τον κίνδυνο εκμετάλλευσης», δήλωσε η εταιρεία.
“Δεν υπάρχουν ακόμη αναφορές για ενεργή εκμετάλλευση, αν και οι πελάτες πρέπει να λάβουν άμεσα μέτρα για την προστασία των παρουσιών τους. Εάν έχετε ήδη εφαρμόσει την ενημέρωση κώδικα, δεν απαιτείται περαιτέρω
ενέργεια
.”
Ενώ οι εισβολείς μπορούν να εκμεταλλευτούν την ευπάθεια για να σκουπίσουν δεδομένα σε διακομιστές που επηρεάζονται, δεν μπορεί να χρησιμοποιηθεί για την κλοπή δεδομένων που είναι αποθηκευμένα σε ευάλωτες παρουσίες. Είναι επίσης σημαντικό να αναφέρουμε ότι οι ιστότοποι του Atlassian
Cloud
στους οποίους προσπελάζονται μέσω ενός τομέα atlassian.net δεν επηρεάζονται, σύμφωνα με το Atlassian.
Η σημερινή προειδοποίηση ακολουθεί μια άλλη προειδοποίηση που εξέδωσε ο Διευθυντής
Ασφάλεια
ς Πληροφοριών της Atlassian (CISO) Bala Sathiamurthy όταν επιδιορθώθηκε η ευπάθεια την Τρίτη.
“Στο πλαίσιο των διαδικασιών συνεχούς αξιολόγησης ασφαλείας μας, ανακαλύψαμε ότι οι πελάτες του Confluence Data Center και του Server είναι ευάλωτοι σε σημαντική απώλεια δεδομένων σε περίπτωση εκμετάλλευσης από έναν εισβολέα χωρίς έλεγχο ταυτότητας”, δήλωσε ο Sathiamurthy.
“Δεν υπάρχουν αναφορές για ενεργή εκμετάλλευση αυτή τη στιγμή, ωστόσο, οι πελάτες πρέπει να λάβουν άμεσα μέτρα για να προστατεύσουν τις περιπτώσεις τους.”
Το Atlassian διόρθωσε την κρίσιμη ευπάθεια CVE-2023-22518 στις εκδόσεις Confluence Data Center και Server 7.19.16, 8.3.4, 8.4.4, 8.5.3 και 8.6.1.
Διαθέσιμα μέτρα μετριασμού
Η εταιρεία προέτρεψε τους διαχειριστές να αναβαθμίσουν αμέσως το λογισμικό τους και, εάν αυτό δεν είναι δυνατό, να εφαρμόσουν μέτρα μετριασμού, όπως
δημιουργία αντιγράφων ασφαλείας μη επιδιορθωμένων παρουσιών
και αποκλεισμός της πρόσβασης στο Διαδίκτυο σε μη επιδιορθωμένους διακομιστές μέχρι να ενημερωθούν.
Εάν δεν μπορείτε να επιδιορθώσετε αμέσως τις παρουσίες Confluence, μπορείτε επίσης να καταργήσετε γνωστά διανύσματα επίθεσης αποκλείοντας την πρόσβαση στα ακόλουθα τελικά σημεία τροποποιώντας το
/
/confluence/WEB-INF/web.xml
όπως εξηγείται στη συμβουλευτική και
επα
νεκκίνηση της ευάλωτης περίπτωσης:
- /json/setup-restore.action
- /json/setup-restore-local.action
- /json/setup-restore-progress.action
«Αυτές οι ενέργειες μετριασμού είναι περιορισμένες και δεν αντικαθιστούν την επιδιόρθωση της παρουσίας σας· πρέπει να επιδιορθώσετε το συντομότερο δυνατό», προειδοποίησε ο Atlassian.
Τον περασμένο μήνα, η CISA, το FBI και η MS-ISAC προειδοποίησαν τους υπερασπιστές να επιδιορθώσουν επειγόντως τους διακομιστές Atlassian Confluence ενάντια σε ένα ελάττωμα κλιμάκωσης προνομίων που έχει εκμεταλλευτεί ενεργά το οποίο παρακολουθείται ως CVE-2023-22515.
Η Microsoft ανακάλυψε αργότερα ότι μια ομάδα απειλών που υποστηρίζεται από την Κίνα και η οποία παρακολουθείται ως Storm-0062 (γνωστή και ως DarkShadow ή Oro0lxy) είχε εκμεταλλευτεί το ελάττωμα ως μηδενική ημέρα από τις 14 Σεπτεμβρίου 2023.
Η ασφάλεια των ευάλωτων διακομιστών Confluence είναι ζωτικής σημασίας, δεδομένης της προηγούμενης στόχευσής τους σε εκτεταμένες επιθέσεις που ώθησαν τα AvosLocker και Cerber2021 ransomware, κακόβουλο λογισμικό botnet Linux και εξορύκτες κρυπτογράφησης.
VIA:
bleepingcomputer.com
