Atlassian, Confluence Veri Merkezi ve Sunucu işbirliği ve proje yönetimi platformunda bir başka kritik güvenlik açığını daha keşfetti ve müşterilerini sorunu derhal düzeltmeye çağırıyor. Atlassian’ın en son tavsiye belgesinde CVE-2023-22518, Confluence’ın şirket içi sürümlerinin tüm sürümlerini etkileyen uygunsuz bir yetkilendirme güvenlik açığı olarak tanımlanıyor.
Bu, Atlassian’ın bir ay içinde bildirdiği ikinci kritik güvenlik açığı olup, yaygın olarak kullanılan Confluence Veri Merkezi ve Sunucu platformuyla bağlantılıdır ve şirkette geçen yıl yaşanan çok sayıda güvenlik sorunu arasında yer almaktadır. Önceki bülten (CVE-2023-22515), bir saldırganın yetkisiz Confluence yönetici hesapları oluşturmasına ve böylece örneklere erişim sağlamasına olanak verebilecek bir güvenlik açığını ortaya çıkarmıştı. Bu güvenlik açığının önem düzeyi 10’du ve başlangıçta bu güvenlik açığının ihlal edilebileceğini bildiren bazı müşteriler tarafından keşfedildi.
Şu ana kadar Atlassian, ciddiyet seviyesi 9.1 olan en yeni güvenlik açığından herhangi bir aktif şekilde faydalanıldığından haberdar değil, ancak şirket, müşterileri yamayı uygulamaya teşvik eden bir bildiri yayınladı. Atlassian CISO’su Bala Sathiamurthy yaptığı açıklamada, “Confluence Veri Merkezi ve Sunucu müşterilerinin, kimliği doğrulanmamış bir saldırgan tarafından kullanılması durumunda önemli miktarda veri kaybına karşı savunmasız olduklarını keşfettik.” diye uyardı. “Müşteriler, bulut sunucularını korumak için derhal harekete geçmelidir.”
Yalnızca Şirket İçi Sürümler Etkilenir
Yeni güvenlik açığı gizliliği etkilemez çünkü danışma belgesine göre bir saldırgan herhangi bir örnek veriyi sızdıramaz. Atlassian, bulut veya SaaS sürümlerine sahip olanların değil, yalnızca şirket içi sürüme sahip olanların etkilendiğini vurguladı. Bir güvenlik istihbaratı sağlayıcısı olan Field Effect, Atlassian’ın müşterilerin sunuculara yama uygulamayı bir öncelik haline getirmesi yönündeki tavsiyesini yineledi.
Field Effect güvenlik istihbarat ekibinin bir blog gönderisine göre, “Atlassian’ın yayınladığı bilgilere göre, bu güvenlik açığının yalnızca tehdit aktörlerinin savunmasız sunucularda bulunan verileri silmesine veya başka bir şekilde gerçek kullanıcılar için erişilemez hale getirmesine izin verdiği görülüyor.” “Bu güvenlik açığı hala bir risk olsa da, eğer aktörler bilgi sızdırıp kurbanı, elde edilen verileri kamuya açıklamaması için tehdit aktörüne ödeme yapmaya zorlayabilirse durum daha kötü olurdu.”
Bazı müşteriler, Web uygulaması güvenlik duvarının yararlı olup olmayacağı gibi örneğe özgü sorular sormak için danışma belgesinin yorumlar bölümünü kullandı. Diğerleri ise son keşifle ilgili hayal kırıklığını paylaştı. Forumda “Oufiniamine” olarak tanımlanan bir posterin yorumuna göre “Her ay bir güvenlik açığı olduğunu hissediyorum.”
Michael Scholze, “Bu istismar ve buna karşı nasıl sertleşileceği hakkında daha fazla bilgi, bunu (şimdiye kadar: haftalık) bazda yapma kapasitesi olmayanlar için gerçekten yararlı olacaktır” diye ekledi, Atlassian destek forumunda başka bir yorumcu. “Ayrıca, özellikle 7.19.x şubesindeki her yeni ‘LTS’ güncellemesinin giderek daha fazla işlevselliği ortadan kaldırdığı düşünüldüğünde, ‘Bulut Ürününüzün’ güvenli olduğuna dair güveni de uyandırmıyor.”