image

Atlassian rolt updates uit voor aangevallen zerodaylek in Confluence Server

zaterdag 4 juni 2022, 06:54 door Redactie, 7 reacties

Softwarebedrijf Atlassian heeft beveiligingsupdates uitgerold voor een actief aangevallen zerodaylek in Confluence Server en Confluence Data Center. Organisaties wordt opgeroepen om de patches zo snel mogelijk te installeren. Naast de actief aangevallen kwetsbaarheid verhelpen de updates ook verschillende andere beveiligingslekken.

Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. Via de OGNL (Object Graph Navigation Language) injection kwetsbaarheid in de software kan een ongeauthenticeerde aanvaller willekeurige code op een Confluence-server of Confluence Data Center instance uitvoeren en zo controle over het systeem krijgen. Details over de kwetsbaarheid en aanvallen zijn nog niet gegeven.

Het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert de updates ook direct te implementeren. Het NCSC houdt de situatie omtrent de kwetsbaarheid naar eigen zeggen nauwlettend in de gaten en zal verdere relevante informatie via de eigen website publiceren. De kwetsbaarheid is door de overheidsinstantie ingeschaald op High/High, wat inhoudt dat de kans op misbruik en mogelijke schade groot is.

Reacties (7)
04-06-2022, 09:21 door Anoniem
Er is op dit moment al aanvalscode voor versie 1.13.6 LTS. Voor de meest recente (ongepatchte) versie 1.18.0 is het wat lastiger vanwege extra filtering. Ik las net wel over een exploit voor het toevoegen van een nieuw admin account, maar nog geen RCE (@httpvoid). Volgens Greynoise zijn er nog geen massale scans gedetecteerd. (https://viz.greynoise.io/query/?gnql=tags%3A%22Atlassian%20Confluence%20Server%20CVE-2022-26134%20OGNL%20Injection%20Attempt%22)
04-06-2022, 18:51 door Anoniem
Het is in Java geschreven en het evalueert ${variabele} constructies in user data.
Waar doet me dat toch aan denken???
Denken Java programmeurs soms dat dit een goed idee is? Voor extra flexibiliteit ofzo?
04-06-2022, 22:09 door Anoniem
Door Anoniem: Het is in Java geschreven en het evalueert ${variabele} constructies in user data.
Waar doet me dat toch aan denken???
Denken Java programmeurs soms dat dit een goed idee is? Voor extra flexibiliteit ofzo?
Dit soort 'expressie talen' komen in verschillende varianten en worden gebruikt in verschillende talen. Op zichzelf is het geen probleem dat dit kan, alleen moet je goed nadenken over de tekst die je erin stopt. Als die beïnvloed kan worden door gebruikersinput, dan heb je kans op dit soort problemen. In dit geval lijkt Atlassian zich niet bewust geweest te zijn van het feit dat (een deel van) de URL gelezen werd als expressie taal.
05-06-2022, 12:31 door Anoniem
Door Anoniem:
Door Anoniem: Het is in Java geschreven en het evalueert ${variabele} constructies in user data.
Waar doet me dat toch aan denken???
Denken Java programmeurs soms dat dit een goed idee is? Voor extra flexibiliteit ofzo?
Dit soort 'expressie talen' komen in verschillende varianten en worden gebruikt in verschillende talen. Op zichzelf is het geen probleem dat dit kan, alleen moet je goed nadenken over de tekst die je erin stopt. Als die beïnvloed kan worden door gebruikersinput, dan heb je kans op dit soort problemen. In dit geval lijkt Atlassian zich niet bewust geweest te zijn van het feit dat (een deel van) de URL gelezen werd als expressie taal.

Nee, als het in programmeertalen mogelijk is dit soort dingen "standaard" te doen en je speciaal moeite moet doen om
dat te voorkomen dan is dat EEN SLECHT ONTWORPEN PROGRAMEERTAAL/OMGEVING en moet dat worden gefixed
of moet die taal worden uitgefaseerd.
Ik wist allang dat PHP geplaagd wordt door dit soort ellende, maar het verbaast me in hoge mate dat het in Java kennelijk
ook het geval is. Ik denk niet dat je dit soort talen moet inzetten in professionele omgevingen want je gaat toch nooit
garanderen dat er niet ergens iemand er niet aan denkt om speciale maatregelen te nemen.

Ik weet niet waar deze makke precies zit, of dat onderdeel van de taal zelf is of van een (veelgebruikte?) library module,
maar hier moet echt de stofkam door om dit soort shit te verwijderen. Anders houden we hier nog heel lang last van.
En "kan dat niet" dan moet er terdege worden overwogen om Java als ontwikkelplatform met dezelfde argwaan te
benaderen als PHP. Bij voorkeur niet inzetten en bij voorkeur geen producten aanschaffen waarin het is ingezet.
07-06-2022, 06:41 door karma4
Door Anoniem:
Nee, als het in programmeertalen mogelijk is dit soort dingen "standaard" te doen en je speciaal moeite moet doen om
dat te voorkomen dan is dat EEN SLECHT ONTWORPEN PROGRAMEERTAAL/OMGEVING en moet dat worden gefixed
of moet die taal worden uitgefaseerd. .....
Ik weet niet waar deze makke precies zit, of dat onderdeel van de taal zelf is of van een (veelgebruikte?) .....
Bij voorkeur niet inzetten en bij voorkeur geen producten aanschaffen waarin het is ingezet.

Het zit in het basisontwerp van de cpu en memory beheer.
Een ieder die denkt dat hij niet hoeft na te denken omdat een aander dat wel gedaan heeft zou het vakgebied van computertechniek en informatieverwerking dienen te verlaten.
Helaas is de arbeidsmarkt gestuurd op korte termijn en laagste kosten
07-06-2022, 09:38 door Anoniem
Door karma4:
Het zit in het basisontwerp van de cpu en memory beheer.
Nee dat is niet zo. Dat zit tegenwoordig wel goed in elkaar.
Waar het op fout gaat is "te veel ontwerpers die koekebakkers zijn en alles wat ze wel handig lijkt inbouwen".
Gecombineerd met te kritiekloos gebruik van "handige modules die iemand anders al gemaakt heeft".
07-06-2022, 15:49 door karma4
Door Anoniem:
Door karma4:
Het zit in het basisontwerp van de cpu en memory beheer.
Nee dat is niet zo.

Dat zit tegenwoordig wel goed in elkaar.
Memory is nog steeds een platte benadering. Je kan ander delen krijgen. Dat er een randomizer met vertaaltabellen tussen gezet is is geen fundamentele oplossing.

Veel is op deze basis met onbegrip terug te brengen.
Met java praat je over een virtual machine als extra laag.


Waar het op fout gaat is "te veel ontwerpers die koekebakkers zijn en alles wat ze wel handig lijkt inbouwen".
Gecombineerd met te kritiekloos gebruik van "handige modules die iemand anders al gemaakt heeft".
Daar kan ik me in vinden. Ontwerpen heet tegenwoordig architectuur. De voorkeur van het echt bouwen is uitbesteden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.