Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Kritischer Zero-Day-Fehler in Atlassian Confluence unter aktivem Exploit

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 145

Im Atlassian Confluence Server und im Confluence Data Center wurde eine kritische Sicherheitslücke bezüglich der Privilegienausweitung offengelegt, mit Hinweisen auf eine Ausnutzung in freier Wildbahn als Zero-Day-Bug.

Der Fehler (CVE-2023-22515) betrifft lokale Instanzen der Plattformen in den Versionen 8.0.0 und höher.

„Atlassian wurde auf ein von einigen Kunden gemeldetes Problem aufmerksam gemacht, bei dem externe Angreifer möglicherweise eine bisher unbekannte Schwachstelle in öffentlich zugänglichen Confluence-Rechenzentrums- und Serverinstanzen ausgenutzt haben, um nicht autorisierte Confluence-Administratorkonten zu erstellen und auf Confluence-Instanzen zuzugreifen“, heißt es Atlassians Empfehlung zu CVE-2023-22515, veröffentlicht am späten 4. Oktober.

Atlassian hat keinen CVSSv3-Score bereitgestellt, aber laut dessen Interne Schweregradbewertungen, würde die Punktzahl im Bereich von 9 bis 10 liegen.

Es geht um viel. Viele Organisationen nutzen Confluence für das Projektmanagement und die Zusammenarbeit zwischen Teams, die über lokale und Remote-Standorte verteilt sind. In Confluence-Umgebungen können häufig vertrauliche Daten sowohl zu internen Projekten als auch zu Kunden und Partnern gespeichert werden.

Eine ungewöhnlich kritische Bewertung: Aus der Ferne ausnutzbare Rechteausweitung?

Die kritische Bezeichnung ist bei Problemen mit der Eskalation von Privilegien recht selten, betonte Rapid7-Forscherin Caitlin Condon in einem Warnung zum Confluence-Bug.

In der Atlassian-Beratung heißt es jedoch weiter, dass „Instanzen im öffentlichen Internet besonders gefährdet sind, da diese Schwachstelle anonym ausgenutzt werden kann“, was darauf hindeutet, dass sie aus der Ferne ausgenutzt werden kann, erklärte sie – eine seltene Situation. Sie stellte fest, dass die kritische Bewertung „in der Regel eher mit einer Authentifizierungsumgehung oder einer Remote-Code-Ausführungskette übereinstimmt als mit einem Problem der Rechteausweitung an sich.“

Condon fügte jedoch hinzu: „Es ist möglich, dass die Schwachstelle es einem regulären Benutzerkonto ermöglichen könnte, zum Administrator zu werden. Insbesondere erlaubt Confluence die Registrierung neuer Benutzer ohne Genehmigung, diese Funktion ist jedoch standardmäßig deaktiviert.“

Jetzt patchen: Confluence ist ein Top-Ziel für Cyberangreifer

Atlassian hat einen Patch veröffentlicht; Feste Versionen sind: 8.3.3 oder höher; 8.4.3 oder höher; und 8.5.2 (Long Term Support-Version) oder höher.

Was andere Schutzoptionen angeht, gibt Atlassian weder an, wo sich der Fehler befindet, noch gibt es irgendwelche anderen technischen Details. Es wird jedoch darauf hingewiesen, dass bekannte Angriffsvektoren durch Blockieren des Zugriffs auf die /setup/*-Endpunkte auf Confluence-Instanzen abgeschwächt werden können guter Indikator dafür, wo das Problem liegt.

Administratoren sollten den externen Netzwerkzugriff auf anfällige Systeme beschränken, bis diese aktualisiert werden können. Atlassian empfiehlt, alle betroffenen Confluence-Instanzen auf die in der Empfehlung aufgeführten Kompromittierungsindikatoren (Indicators of Compromise, IoCs) zu überprüfen.

Das Patchen sollte im Vordergrund stehen; Atlassian ist ein bekanntes Ziel für Cyberangreifer, wie die aktuelle Zero-Day-Ausnutzung beweist, aber es gibt auch einen weiteren Präzedenzfall. Im Juni 2022, Atlassian hat eine weitere kritische Zero-Day-Sicherheitslücke offengelegt Betroffen sind Confluence Server und Data Center (CVE-2022-26134). Hierbei handelt es sich um eine eher typische Sicherheitslücke bei der Remotecodeausführung. Der Enthüllung folgten schnell Proof-of-Concept-Skripte und eine Massenverwertung. Der Höhepunkt liegt bei 100,000 Ausbeutungsversuchen pro Tag.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.