image

Atlassian waarschuwt voor zerodaylek in Confluence Server en Datacenter

vrijdag 3 juni 2022, 09:50 door Redactie, 2 reacties

Softwarebedrijf Atlassian waarschuwt organisaties voor een actief aangevallen zerodaylek in Confluence Server en Confluence Datacenter dat het mogelijk maakt om servers op afstand over te nemen en waarvoor nog geen beveiligingsupdates beschikbaar zijn. Hoelang er al misbruik van de kritieke kwetsbaarheid wordt gemaakt en tegen wie de aanvallen zijn gericht laat Atlassian niet weten.

Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. De software voor de laatste twee opties bevat een kritiek beveiligingslek aangeduid als CVE-2022-26134. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand code uitvoeren. Aangezien een patch nog niet beschikbaar is geeft Atlassian geen verdere details over het beveiligingslek.

Als tijdelijke oplossing adviseert Atlassian om toegang tot Confluence Server- en Data Center-installaties vanaf het internet te beperken of Confluence Server- en Data Center-installaties uit te schakelen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security raadt organisaties aan om al het internetverkeer naar beide producten te blokkeren totdat er een update beschikbaar is.

Securitybedrijf Volexity ontdekte de kwetsbaarheid nadat twee webservers van een klant waren gecompromitteerd. Via het beveiligingslek waren webshells op de servers geïnstalleerd waarmee aanvallers toegang tot de machines kunnen houden. Verder blijkt dat de aanvallers de gebruikerstabel uit de Confluence-database dumpten, webtoegang tot logbestanden aanpasten en aanvullende webshells installeerden. Volexity vermoedt dat de aanvallers vanuit China opereren.

Reacties (2)
03-06-2022, 10:19 door Anoniem
In het mitigatie advies van Confluence is te lezen dat het blokkeren van de tekst '${' kan helpen. Omdat Confluence eerder (CVE-2021-26084) kwetsbaar is geweest voor OGNL injecties, vermoed ik dat dit een vergelijkbare kwetsbaarheid is. Dergelijke kwetsbaarheden zijn eenvoudig te misbruiken als je weet om welke pagina of endpoint het gaat. Zodra de patch zaterdagochtend bekend is zal het niet lang duren om dit te achterhalen. Mijn glazen bol voorspelt daarom veel ellende over het komende weekend bij de organisaties die hun Confluence niet van het internet hebben gehaald (en niet binnen X uur de patch uitrollen).
04-06-2022, 16:24 door Anoniem
https://csirt.divd.nl/cases/DIVD-2022-00033/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.