Atlassian, yöneticileri, İnternet’e açık ve yama uygulanmamış örnekleri hedef alan veri yok etme saldırılarında kullanılabilecek kritik bir Confluence güvenlik açığı için artık genel bir istismarın mevcut olduğu konusunda uyardı.
CVE-2023-22518 olarak izlenen bu, Confluence Veri Merkezi ve Confluence Server yazılımının tüm sürümlerini etkileyen 9,1/10 önem derecesine sahip uygunsuz bir yetkilendirme güvenlik açığıdır.
Atlassian, orijinal danışma belgesinde yapılan bir güncellemede, kamuya açık örnekleri kritik risk altına sokan, halka açık bir istismar bulduğu konusunda uyardı.
Şirket, “Atlassian’ın bu CVE’yi sürekli olarak izlemesinin bir parçası olarak, güvenlik açığı hakkında kamuya açık olarak yayınlanmış ve istismar riskini artıran kritik bilgileri gözlemledik” dedi.
“Müşterilerin bulut sunucularını korumak için derhal harekete geçmeleri gerekse de hâlâ aktif bir istismar raporu yok. Yamayı zaten uyguladıysanız başka bir işlem yapmanıza gerek yok.”
Saldırganlar, etkilenen sunuculardaki verileri silmek için bu güvenlik açığından yararlanabilir ancak güvenlik açığı bulunan örneklerde depolanan verileri çalmak için kullanılamaz. Atlassian’a göre atlassian.net alan adı üzerinden erişilen Atlassian Cloud sitelerinin etkilenmediğini belirtmek de önemli.
Bugünkü uyarı, Atlassian’ın Bilgi Güvenliği Baş Sorumlusu (CISO) Bala Sathiamurthy tarafından güvenlik açığı Salı günü kapatıldığında yayınlanan bir başka uyarının ardından geldi.
Sathiamurthy, “Sürekli güvenlik değerlendirme süreçlerimizin bir parçası olarak, Confluence Veri Merkezi ve Sunucu müşterilerinin, kimliği doğrulanmamış bir saldırgan tarafından kullanılması durumunda önemli miktarda veri kaybına karşı savunmasız olduklarını keşfettik” dedi.
“Şu anda aktif bir istismar raporu yok; ancak müşterilerin, bulut sunucularını korumak için derhal harekete geçmesi gerekiyor.”
Atlassian, Confluence Veri Merkezi ve Sunucu 7.19.16, 8.3.4, 8.4.4, 8.5.3 ve 8.6.1 sürümlerinde kritik CVE-2023-22518 güvenlik açığını düzeltti.
Etki azaltıcı önlemler mevcut
Şirket, yöneticileri yazılımlarını derhal yükseltmeye ve bu mümkün değilse, yama yapılmamış örneklerin yedeklenmesi ve güncellenene kadar yama yapılmamış sunuculara İnternet erişiminin engellenmesi de dahil olmak üzere azaltıcı önlemler uygulamaya çağırdı.
Confluence örneklerinize hemen yama uygulayamazsanız aşağıdaki uç noktalarda erişimi engelleyerek bilinen saldırı vektörlerini de kaldırabilirsiniz. /
- /json/setup-restore.action
- /json/setup-restore-local.action
- /json/setup-restore-progress.action
Atlassian, “Bu azaltma eylemleri sınırlıdır ve örneğinize yama yapmanın yerini almaz; mümkün olan en kısa sürede yama yapmalısınız” diye uyardı.
Geçen ay CISA, FBI ve MS-ISAC, savunucuları Atlassian Confluence sunucularını, CVE-2023-22515 olarak takip edilen, aktif olarak istismar edilen bir ayrıcalık yükseltme kusuruna karşı acilen yamalamaları konusunda uyardı.
Microsoft daha sonra Storm-0062 (diğer adıyla DarkShadow veya Oro0lxy) olarak takip edilen Çin destekli bir tehdit grubunun, 14 Eylül 2023’ten bu yana bu kusurdan sıfır gün olarak yararlandığını keşfetti.
AvosLocker ve Cerber2021 fidye yazılımını, Linux botnet kötü amaçlı yazılımını ve kripto madencilerini zorlayan yaygın saldırılardaki öncelikli hedefleme göz önüne alındığında, savunmasız Confluence sunucularının güvenliğini sağlamak çok önemlidir.