Er is een kritieke kwetsbaarheid voor escalatie van bevoegdheden in Atlassian Confluence Server en Confluence Data Center onthuld, met bewijs van uitbuiting in het wild als een zero-day bug.
De fout (CVE-2023-22515) treft on-premises exemplaren van de platforms, in versies 8.0.0 en hoger.
“Atlassian is op de hoogte gebracht van een probleem dat door een handvol klanten is gemeld en waarbij externe aanvallers mogelijk misbruik hebben gemaakt van een voorheen onbekende kwetsbaarheid in openbaar toegankelijke Confluence Data Center- en Server-instances om ongeautoriseerde Confluence-beheerdersaccounts te maken en toegang te krijgen tot Confluence-instances”, aldus Atlassian's advies over CVE-2023-22515, laat uitgebracht op 4 oktober.
Atlassian heeft geen CVSSv3-score opgegeven, maar volgens zijn interne ernstniveaubeoordelingen, zou de score tussen 9 en 10 liggen.
De inzet is hoog. Veel organisaties gebruiken Confluence voor projectbeheer en samenwerking tussen teams verspreid over lokale en externe locaties. Vaak kunnen Confluence-omgevingen gevoelige gegevens bevatten over zowel interne projecten als klanten en partners.
Een ongebruikelijke kritische beoordeling: op afstand exploiteerbare privilege-escalatie?
De kritische aanduiding is vrij zeldzaam voor problemen met escalatie van privileges, merkte Rapid7-onderzoeker Caitlin Condon op in een waarschuwing over de Confluence-bug.
Het advies van Atlassian merkt echter verder op dat “instances op het openbare internet bijzonder risico lopen, omdat deze kwetsbaarheid anoniem kan worden misbruikt”, wat aangeeft dat het op afstand kan worden misbruikt, legde ze uit – een zeldzame situatie. Ze merkte op dat de kritische beoordeling “doorgaans meer consistent is met een authenticatie-bypass of code-uitvoeringsketen op afstand dan met een kwestie van privilege-escalatie op zichzelf.”
Condon voegde er echter aan toe: "Het is mogelijk dat het beveiligingslek ervoor zorgt dat een normaal gebruikersaccount de status van beheerder krijgt. Confluence staat met name nieuwe gebruikersaanmeldingen toe zonder goedkeuring, maar deze functie is standaard uitgeschakeld."
Patch nu: Confluence is een topdoelwit voor cyberaanvallers
Atlassian heeft een patch uitgegeven; vaste versies zijn: 8.3.3 of hoger; 8.4.3 of later; en 8.5.2 (release voor langdurige ondersteuning) of later.
Wat andere beveiligingsopties betreft, specificeert Atlassian niet waar de bug zich bevindt of andere technische details, hoewel het wel opmerkt dat bekende aanvalsvectoren kunnen worden beperkt door de toegang tot de /setup/*-eindpunten op Confluence-instanties te blokkeren, wat een goede indicator van waar het probleem zich bevindt.
Beheerders moeten de externe netwerktoegang tot kwetsbare systemen beperken totdat deze kunnen worden geüpgraded, en Atlassian raadt aan om alle getroffen Confluence-instanties te controleren op de indicatoren van compromis (IoC's) die in het advies worden vermeld.
Patchen moet top-of-mind zijn; Atlassian wel een bekend doelwit voor cyberaanvallers, zoals blijkt uit de huidige zero-day-exploitatie, maar er is ook nog een precedent. In juni 2022, Atlassian heeft opnieuw een kritieke zero-day-kwetsbaarheid onthuld die gevolgen heeft voor Confluence Server and Data Center (CVE-2022-26134), dit is een meer typische kwetsbaarheid voor het uitvoeren van externe code. Proof-of-concept-scripts en massale uitbuiting volgden snel op de onthulling. met een piek van 100,000 exploitatiepogingen per dag.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/application-security/critical-zero-day-atlassian-confluence-active-exploit
