Dringend: Atlassian Confluence jetzt patchen - CISA & FBI-Hinweis
CISA, FBI und MS-ISAC raten Netzwerkadministratoren dringend dazu, umgehend Patches auf ihre Atlassian Confluence-Server aufzuspielen, um sich vor der aktiven Ausnutzung einer kritischen Sicherheitslücke zu schützen.
Dieser als CVE-2023-22515 identifizierte kritische Fehler betrifft bestimmte Versionen von Atlassian Confluence Data Center und Server und ermöglicht es böswilligen Akteuren, durch die Erstellung nicht autorisierter Confluence-Administratorkonten einen ersten Zugriff auf Confluence-Instanzen zu erhalten.
Atlassian Confluence als Zero-Day ausgenutzt
Am 4. Oktober veröffentlichte Atlassian Sicherheitsupdates und forderte die Benutzer auf, ihre Confluence-Instanzen sofort auf eine der gepatchten Versionen (8.3.3 oder höher, 8.4.3 oder höher oder 8.5.2 oder höher) zu aktualisieren. Die Dringlichkeit dieses Ratschlags ergibt sich aus der Tatsache, dass die Schwachstelle bereits aktiv "in the wild" als Zero-Day ausgenutzt wurde.
Bedrohungsakteure nutzten CVE-2023-22515 als Zero-Day-Schwachstelle aus, verschafften sich so Zugang zu den Systemen der Opfer und nutzten sie auch nach der Bereitstellung von Patches weiter aus. Atlassian hat diese Schwachstelle als kritisch eingestuft, und CISA, FBI und MS-ISAC gehen davon aus, dass die Schwachstelle aufgrund ihrer Benutzerfreundlichkeit weiterhin und in großem Umfang ausgenutzt wird.
Denjenigen, die nicht in der Lage sind, ein sofortiges Upgrade durchzuführen, wurde empfohlen, die betroffenen Instanzen abzuschalten oder vom Internetzugang zu isolieren. Darüber hinaus wurden die Netzwerkadministratoren aufgefordert, gründliche Überprüfungen auf Anzeichen einer Kompromittierung durchzuführen, einschließlich der Identifizierung neuer oder verdächtiger administrativer Benutzerkonten.
Eine Woche, nachdem die CISA diese Schwachstelle in die Liste der bekannten Sicherheitslücken aufgenommen hatte, gab Microsoft bekannt, dass eine von China unterstützte Bedrohungsgruppe namens Storm-0062 (auch bekannt als DarkShadow oder Oro0lxy) diese Schwachstelle seit mindestens dem 14. September 2023 als Zero-Day ausnutzt.
Schlussfolgerung
Diese Warnung kommt zwei Wochen, nachdem Atlassian Sicherheitsupdates veröffentlicht hat, um die Bedrohung zu beseitigen, und weniger als eine Woche, nachdem die Threat Intelligence-Einheit von Microsoft eine staatlich geförderte chinesische APT-Gruppe (Advanced Persistent Threat) namens Storm-0062 (auch bekannt als DarkShadow oder Oro0lxy) als Quelle hinter einer Reihe von laufenden Angriffen identifiziert hat, die diese hochkritische Schwachstelle bereits seit dem 14. September ausnutzen.
Die Bundesbehörden drängen Organisationen nicht nur dazu, Atlassian Confluence zu patchen, sondern ermutigen sie auch, proaktiv nach Anzeichen für bösartige Aktivitäten in ihren Netzwerken zu suchen. Sie geben Anleitungen, wie diese Aktivitäten mithilfe der in der Empfehlung aufgeführten Erkennungssignaturen und Kompromittierungsindikatoren (Indicators of Compromise, IOCs) erkannt werden können.
Die Quellen für diesen Artikel sind u. a. ein Bericht des Security Boulevard.