Greynoise, tehdit aktörlerinin, kimliği doğrulanmamış saldırganların savunmasız örneklerin veritabanını sıfırlamasına olanak tanıyan kritik bir Atlassian Confluence kusuru olan CVE-2023-22518’den yararlanmaya çalıştığını gözlemliyor.
Shadowserver Vakfı ayrıca internete yönelik Confluence kurulumlarındaki kusur için 30’dan fazla IP adresinin test edildiğini gördü.
Güvenlik güncellemelerinden aktif kötüye kullanıma
Atlassian, 31 Ekim’de CVE-2023-22518 için güvenlik güncellemelerini yayınladı ve güvenlik açığının hedef alındığına dair herhangi bir belirti olmamasına rağmen müşterileri hızlı bir şekilde yükseltme yapmaya çağırdı.
Atlassian, “Kullanıcı kimlik doğrulamasına sahip olanlar da dahil olmak üzere, genel internete erişilebilen örneklerin, siz yama uygulayana kadar harici ağ erişimiyle sınırlandırılması gerekir” tavsiyesinde bulundu.
2 Kasım’da Atlassian CISO’su Bala Sathiamurthy, “güvenlik açığı hakkında kamuya açıklanmış, istismar riskini artıran kritik bilgilerin” bulunduğunu doğruladı. Ertesi gün (yani geçen Cuma), şirket aktif bir istismara ilişkin müşteri raporu aldıklarını doğruladı.
O zamandan beri GitHub’da CVE-2023-22518’e yönelik en az bir PoC istismarı yayınlandı.
Azaltma ve iyileştirme
Güvenlik açığı, saldırganların veri sızdırmasına izin vermese de Atlassian, bir örneğin tehlikeye atılması durumunda müşterilerin önemli miktarda veri kaybı yaşayabileceğini ve artık örneklerin URL’sine bağlanamayabileceklerini veya örnekte doğru şekilde kimlik doğrulaması yapamayabileceklerini söylüyor.
Şirket, “Kimlik doğrulaması yapılabilirse, örnekte herhangi bir içerik oluşturulmayacak ve/veya başlangıçta sahip olduğundan farklı bir içerik olmayacak” uyarısında bulundu.
Müşteriler ayrıca,
“Saldırı, örneğin içeriğini sıfırlamayı içerdiğinden, verilerinizi kurtarmanın tek yolu önceki bir yedeklemeden kurtarmaktır. Şirket, Confluence bulut sunucunuzun güvenliğinin ihlal edildiğini düşünüyorsanız Atlassian Desteği ile iletişime geçin çünkü bulut sunucunuzun kurtarılması için Atlassian’ın yardımına ihtiyaç var” diye ekledi.
Etkilenmeyecek kadar şanslı olan müşteriler, Confluence kurulumlarını hızlı bir şekilde güncellemeli veya kötüye kullanım riskini en aza indirmek için örneklerinin verilerini yedeklemeli ve örneklerini halka açık internetten kaldırmalıdır.