Atlassian Confluence Sunucusu ve Confluence Veri Merkezi’ndeki kritik bir ayrıcalık yükseltme güvenlik açığı, sıfır gün hatası olarak vahşi ortamda istismar edildiğine dair kanıtlarla birlikte ortaya çıktı.
Kusur (CVE-2023-22515), 8.0.0 ve sonraki sürümlerdeki platformların şirket içi örneklerini etkiliyor.
Atlassian’ın tavsiyesine göre, “Atlassian, bir avuç müşteri tarafından bildirilen ve harici saldırganların, yetkisiz Confluence yönetici hesapları oluşturmak ve Confluence örneklerine erişmek için kamuya açık Confluence Veri Merkezi ve Sunucu örneklerinde önceden bilinmeyen bir güvenlik açığından yararlanmış olabileceği bir sorun hakkında bilgilendirildi.” CVE-2023-22515’te, 4 Ekim’in sonlarında yayınlandı.
Atlassian bir CVSSv3 puanı sağlamadı ancak dahili şiddet düzeyi derecelendirmelerine göre puan 9 ila 10 aralığında olacak.
Riskler yüksek. Birçok kuruluş, şirket içi ve uzak konumlara dağılmış ekipler arasında proje yönetimi ve işbirliği için Confluence’ı kullanıyor. Confluence ortamları genellikle hem dahili projelere hem de müşterilere ve ortaklara ilişkin hassas verileri barındırabilir.
Olağandışı Bir Kritik Derecelendirme: Uzaktan Suistimal Edilebilir Ayrıcalık Artışı mı?
Rapid7 araştırmacısı Caitlin Condon, Confluence hatasıyla ilgili bir uyarıda, kritik atamanın ayrıcalık yükseltme sorunları için oldukça nadir görülen bir durum olduğuna dikkat çekti.
Bununla birlikte Atlassian tavsiye belgesi, “kamuya açık İnternet’teki örneklerin özellikle risk altında olduğunu, çünkü bu güvenlik açığının anonim olarak sömürülebildiğini” belirterek bunun uzaktan sömürülebileceğini belirterek, bunun nadir bir durum olduğunu açıkladı. Kritik derecelendirmenin “genellikle bir kimlik doğrulama atlama veya uzaktan kod yürütme zinciriyle kendi başına bir ayrıcalık yükseltme sorunundan daha tutarlı olduğunu” belirtti.
Ancak Condon şunları ekledi: “Güvenlik açığı normal bir kullanıcı hesabının yönetici konumuna yükselmesine izin verebilir; özellikle Confluence, onay gerekmeden yeni kullanıcı kayıtlarına izin verir, ancak bu özellik varsayılan olarak devre dışıdır.”
Hemen Yama: Siber Saldırganlar için En Büyük Hedefi Birleştirin
Atlassian bir yama yayınladı; sabit sürümler şunlardır: 8.3.3 veya üzeri; 8.4.3 veya üzeri; ve 8.5.2 (Uzun Süreli Destek sürümü) veya üzeri.
Diğer koruma seçenekleri açısından Atlassian, hatanın nerede bulunduğunu veya diğer teknik ayrıntıları belirtmiyor ancak Confluence örneklerindeki /setup/* uç noktalarına erişimin engellenmesiyle bilinen saldırı vektörlerinin azaltılabileceğini belirtiyor. sorunun nerede olduğuna dair iyi bir gösterge.
Yöneticiler, yükseltilene kadar savunmasız sistemlere harici ağ erişimini kısıtlamalıdır ve Atlassian, danışma belgesinde listelenen güvenlik ihlali göstergeleri (IoC’ler) açısından etkilenen tüm Confluence örneklerini kontrol etmenizi önerir.
Yama uygulaması ilk akla gelen konu olmalıdır; Atlassian, mevcut sıfır gün istismarının da gösterdiği gibi, siber saldırganlar için bilinen bir hedeftir, ancak bunun başka emsalleri de vardır. Haziran 2022’de Atlassian, Confluence Sunucusu ve Veri Merkezi’ni (CVE-2022-26134) etkileyen başka bir kritik sıfır gün güvenlik açığını açıkladı; bu güvenlik açığı daha tipik bir uzaktan kod yürütme güvenlik açığıydı. Açıklamanın hemen ardından kavram kanıtı komut dosyaları ve kitlesel istismar, günlük 100.000 istismar girişimiyle zirveye ulaştı.