Atlassian warnt vor der Ausnutzung der Confluence-Schwachstelle
Atlassian hat eine Warnung bezüglich einer Confluence-Schwachstelle herausgegeben, die Ihr System für Angriffe zur Datenvernichtung anfällig machen könnte. Bei dieser als CVE-2023-22518 identifizierten Schwachstelle handelt es sich um ein Problem bei der Umgehung der Authentifizierung mit einer Schweregradbewertung von 9.1/10. Später wurde sie auf 10, die höchste kritische Einstufung, erhöht, da sich der Umfang des Angriffs geändert hat. Betroffen sind alle Versionen von Confluence Data Center und Confluence Server Software.
Das Unternehmen hat kürzlich eine öffentlich zugängliche Schwachstelle entdeckt, die das Risiko für Instanzen, die dem Internet ausgesetzt sind, erheblich erhöht. Obwohl es keine Berichte über eine aktive Ausnutzung gibt, rät Atlassian dringend zu sofortigen Maßnahmen zum Schutz Ihrer Confluence-Instanzen.
Wenn Sie den von Atlassian in den Versionen 7.19.16, 8.3.4, 8.4.4, 8.5.3 und 8.6.1 bereitgestellten Patch bereits installiert haben, sind Sie sicher. Wenn Sie es jedoch nicht getan haben, ist es wichtig, schnell Maßnahmen zu ergreifen.
Wichtig ist auch, dass Atlassian-Cloud-Sites, auf die über eine atlassian.net-Domain zugegriffen wird, davon nicht betroffen sind.
Entschärfung der Confluence-Schwachstelle
Der Chief Information Security Officer von Atlassian, Bala Sathiamurthy, betont, dass es zu erheblichen Datenverlusten kommen kann, wenn ein nicht authentifizierter Angreifer die Sicherheitslücke ausnutzt. Obwohl das Hauptrisiko in der Datenzerstörung besteht, ist es beruhigend, dass die Schwachstelle keinen Datendiebstahl ermöglicht.
Um das Risiko zu minimieren, empfiehlt Atlassian, die Confluence-Software sofort zu aktualisieren. Wenn ein sofortiges Upgrade nicht möglich ist, sollten Sie Maßnahmen zur Risikominderung ergreifen, wie z. B. die Sicherung ungepatchter Instanzen und die Sperrung des Internetzugangs zu ungepatchten Servern, bis die Updates installiert sind.
For those unable to patch their Confluence instances immediately, Atlassian suggests removing known attack vectors by blocking access to specific endpoints. This can be achieved by modifying the /<confluence-install-dir>/confluence/WEB-INF/web.xml file, as outlined in the advisory. Then, it is required to restart the confluence.
Es ist wichtig zu verstehen, dass diese Abhilfemaßnahmen nur vorübergehend sind und kein Ersatz für ein Patching darstellen. Atlassian unterstreicht die Dringlichkeit, den Patch so schnell wie möglich anzuwenden.
Schlussfolgerung
Diese Warnung folgt auf eine ähnliche Empfehlung vom letzten Monat, in der CISA, FBI und MS-ISAC aufgrund einer aktiv ausgenutzten Schwachstelle zur Privilegienerweiterung (CVE-2023-22515) zum schnellen Patchen von Atlassian Confluence-Servern aufriefen. In Anbetracht der Tatsache, dass Confluence-Server in der Vergangenheit Ziel weit verbreiteter Angriffe waren, die zu Ransomware, Malware und Krypto-Mining führten, ist die Sicherung Ihrer Confluence-Instanz von größter Bedeutung. Bleiben Sie wachsam, installieren Sie Patches und treffen Sie die notwendigen Vorkehrungen, um Ihre Daten und Systeme zu schützen.
Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.