Yazılım şirketi, yeni açıklanan üç uzaktan kod yürütme (RCE) güvenlik açığının Atlassian Confluence Veri Merkezi ve Sunucusu ile Bamboo’yu sistemin ele geçirilmesine açık hale getirdiğini söylüyor.
Confluence, bulut ve hibrit sunucu ortamlarında işbirliği için kullanılan ve çeşitli farklı veritabanlarına tek tıklamayla bağlantı sağlayan popüler bir Web tabanlı kurumsal wiki’dir. LinkedIn, NASA ve New York Times dahil olmak üzere 60.000’den fazla müşteri Confluence kullanıyor.
Bu arada Bamboo, yazılım kaynak kodu durumunun otomatik olarak oluşturulmasını ve test edilmesini sağlayan, yazılım geliştirmeye yönelik bir sürekli entegrasyon (CI) ve sürekli dağıtım (CD) sunucusudur.
Kusurlardan herhangi birinin başarılı bir şekilde kullanılması, kullanıcıların bulut altyapısına, yazılım tedarik zincirine ve daha fazlasına açılan geniş bir kapı sunabilir. Tehdit aktörlerinin başarılı olması için kimliğinin doğrulanması gerekirken, açıklardan yararlanmak için herhangi bir kullanıcı etkileşimi gerekmez.
Confluence’da güvenlik açıkları CVE-2023-22505 (CVSS 8.5) ve CVE-2023-22508 (CVSS 8.0) olarak izleniyor. Her ikisi de Confluence 8.3.2 ve 8.4.0 sürümlerinde yamalandı.
Atlassian, Confluence hakkındaki güvenlik danışmanlığında, “Bu enjeksiyon ve RCE güvenlik açığı, kimliği doğrulanmış bir saldırganın bir sistem çağrısı tarafından gerçekleştirilen eylemleri değiştirmesine ve gizlilik üzerinde yüksek etkiye, bütünlüğe yüksek etkiye ve kullanılabilirliğe yüksek etkiye sahip rastgele kod yürütmesine olanak tanır.”
Bu arada, Bamboo Veri Merkezindeki (CVE-2023-22506, CVSS 7.5) yüksek önem düzeyine sahip sorun, 9.2.3 ve 9.3.1 sürümlerinde yamalandı.
“[An attacker can] Atlassian’a göre, bir sistem çağrısı tarafından gerçekleştirilen eylemleri değiştirin ve gizlilik üzerinde yüksek etkiye, bütünlüğe yüksek etkiye ve kullanılabilirliğe yüksek etkiye sahip rasgele kod yürütün.
Atlassian’ın kurumsal ağlardaki hassas doğası göz önüne alındığında, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), kullanıcıların yamaları Atlassian örneklerine mümkün olan en kısa sürede uygulamaları konusunda ısrar ediyor.