Aktive Ransomware und andere Cyberangriffe gegen ungepatchte Atlassian Confluence Data Center- und Servertechnologie haben den CVSS-Score der entsprechenden Schwachstelle von ursprünglich 9.1 auf 10, die kritischste Bewertung auf der Skala, ansteigen lassen.

Laut Atlassian sind alle Versionen von Atlassian Confluence Data Center und Server betroffen, Cloud-Instanzen jedoch nicht.

Der Wert des unter CVE-2023-22518 erfassten Fehlers bei unsachgemäßer Autorisierung wurde „aufgrund einer Änderung des Umfangs des Angriffs“ erhöht Atlassian-Beratung, die hinzufügte, dass inzwischen aktive Exploits gegen den Fehler beobachtet wurden, einschließlich Ransomware. Forscher von Rapid7 gaben ebenfalls eine Empfehlung heraus Warnung vor Schneeballangriffen ab dem Wochenende.

Atlassian, ein australisches Unternehmen, entwickelt Tools für Softwareentwicklung und Zusammenarbeit.

„Diese Sicherheitslücke bei unsachgemäßer Autorisierung ermöglicht es einem nicht authentifizierten Angreifer, Confluence zurückzusetzen und ein Confluence-Instanzadministratorkonto zu erstellen“, heißt es in der Empfehlung weiter. „Mit diesem Konto kann ein Angreifer dann alle administrativen Aktionen ausführen, die dem Confluence-Instanzadministrator zur Verfügung stehen, was zu einem vollständigen Verlust der Vertraulichkeit, Integrität und Verfügbarkeit führt.“

Erstmals veröffentlicht am 31. Oktober Sicherheitslücke in Atlassian Confluence wurde am 3. November unter aktivem Exploit beobachtet.

Derzeit kann Atlassian nicht bestätigen, welche Kundeninstanzen von den aktiven Angriffen betroffen sind, das Unternehmen warnt die Sicherheitsteams jedoch, auf Folgendes zu achten:

• Verlust der Anmeldung oder des Zugriffs
• Anfragen an /json/setup-restore* in Netzwerkzugriffsprotokollen
• unbekannte Plugins installiert, mit beobachteten Berichten über ein Plugin namens „web.shell.Plugin“
• verschlüsselte Dateien oder beschädigte Daten
• unerwartete Mitglieder der Gruppe confluence-administrators
• unerwartet neu erstellte Benutzerkonten