Atlassian Confluence Veri Merkezi ve Confluence Sunucusu, destek dışı sürümler de dahil olmak üzere 5 Aralık 2023’ten önce yayımlanan sürümleri etkileyen kritik bir uzaktan kod yürütme (RCE) güvenlik açığına karşı savunmasızdır.
Kusur CVE-2023-22527 olarak izleniyor, kritik olarak derecelendiriliyor (CVSS v3: 10.0) ve kimliği doğrulanmamış saldırganların etkilenen Confluence uç noktalarında uzaktan kod yürütmesine olanak tanıyan bir şablon yerleştirme güvenlik açığıdır.
Atlassian’ın güvenlik bülteninde, “Confluence Veri Merkezi ve Sunucusunun en son desteklenen sürümleri, düzenli güncellemeler sırasında sonuçta azaltıldığı için bu güvenlik açığından etkilenmez” yazıyor.
“Ancak Atlassian, bulut sunucularını Atlassian’ın Ocak Güvenlik Bülteninde belirtilen kritik olmayan güvenlik açıklarından korumak için müşterilerin en son sürümü yüklemeye dikkat etmelerini tavsiye ediyor.”
RCE hatası Confluence Veri Merkezini ve Sunucunun 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x ve 8.5.0 ila 8.5.3 arasındaki sürümlerini etkiliyor.
Atlassian, Confluence Veri Merkezi ve Sunucu sürümlerindeki kusuru düzeltti 8.5.4 (LTS), 8.6.0 (Yalnızca Veri Merkezi) ve 8.7.1 (Yalnızca Veri Merkezi), Aralık ayında piyasaya sürüldü. Ancak hatayı geçen ay sessizce mi düzelttikleri yoksa normal yazılım geliştirmeleri sırasında yanlışlıkla mı düzeltildikleri belli değil.
Bu sürümler daha önce yayınlanmıştı ve artık en son sürüm değiller; dolayısıyla daha yeni bir sürüme geçen yöneticiler CVE-2023-22527’nin kötüye kullanılmasına karşı güvendedir.
Atlassian, 8.4.5’in ve halihazırda destek dışı kalmış olan önceki tüm sürüm dallarının, güvenlik hata düzeltme politikası kapsamında bir güvenlik güncellemesi almayacağını belirtiyor.
Bu sürümlerin kullanıcılarının mümkün olan en kısa sürede aktif olarak desteklenen bir sürüme geçmeleri önerilir.
Atlassian, vurgulanan güvenlik sorunu için herhangi bir hafifletme veya geçici çözüm sunmadığından, mevcut güncellemelerin uygulanması önerilen yoldur.
Atlassian’ın kusur için oluşturduğu SSS sayfası, CVE-2023-22527’nin Confluence LTS v7.19.x’i, satıcı tarafından barındırılan Bulut Örneklerini veya başka herhangi bir Atlassian ürününü etkilemediğini açıklıyor.
Ancak internete bağlı olmayan ve anonim erişime izin vermeyen örneklerin, risk azalsa bile yine de istismar edilebilir olduğu belirtiliyor.
Mevcut güncellemeleri hemen uygulayamayanlar için, etkilenen sistemleri çevrimdışına almaları, verileri Confluence örneğinin dışındaki bir konuma yedeklemeleri ve kötü amaçlı etkinlikleri izlemeleri önerilir.
Atlassian Confluence hataları, devlet destekli tehdit grupları ve fırsatçı fidye yazılımı grupları da dahil olmak üzere, ortalıkta dolaşan saldırganlar tarafından sıklıkla kullanılıyor.
CVE-2023-22527 durumunda Atlassian, istismarın tespit edilmesine yardımcı olacak herhangi bir anlamlı güvenlik ihlali göstergesini (IoC) paylaşamaz.
Çoklu olası giriş noktaları ve kusuru zincirleme saldırılarda kullanma yeteneği, kapsamını kesin istismar işaretlerini tespit edemeyecek kadar genişletmektedir.