Avustralyalı yazılım şirketi Atlassian, Confluence Veri Merkezi ve Sunucu yazılımında saldırılarda istismar edilen maksimum önem derecesine sahip sıfır gün güvenlik açığını gidermek için acil güvenlik güncellemeleri yayınladı.
Şirket, “Atlassian’a, harici saldırganların, yetkisiz Confluence yönetici hesapları oluşturmak ve Confluence örneklerine erişmek için kamuya açık Confluence Veri Merkezi ve Sunucu örneklerinde önceden bilinmeyen bir güvenlik açığından yararlanmış olabileceği bir avuç müşteri tarafından bildirilen bir sorun hakkında bilgi verildi” dedi.
“Atlassian Cloud siteleri bu güvenlik açığından etkilenmez. Confluence sitenize atlassian.net etki alanı üzerinden erişiliyorsa site Atlassian tarafından barındırılır ve bu soruna karşı savunmasız değildir.”
CVE-2023-22515 olarak izlenen bu kritik ayrıcalık yükseltme kusuru, Confluence Data Center ile Server 8.0.0 ve sonraki sürümlerini etkiliyor ve kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda uzaktan yararlanılabilir olarak tanımlanıyor.
Güvenlik açığı bulunan Confluence Veri Merkezi ve Sunucu sürümlerini kullanan müşterilerin, örneklerini mümkün olan en kısa sürede sabit sürümlerden birine (yani 8.3.3 veya üstü, 8.4.3 veya üstü, 8.5.2 veya üstü) yükseltmeleri önerilir.
Atlassian, yükseltme ve azaltma önlemlerinin yanı sıra, müşterilerin etkilenen bulut sunucularını kapatmalarını veya anında yama uygulanması mümkün değilse İnternet erişimini yalıtmalarını da teşvik ediyor.
Yöneticiler, Confluence örneklerindeki /setup/* uç noktalarına erişimi engelleyerek bu güvenlik açığıyla ilişkili bilinen saldırı vektörlerini kaldırabilir.
Atlassian, “Bu güvenlik açığı anonim olarak kullanılabildiğinden, halka açık internetteki örnekler özellikle risk altındadır.” diye ekledi.
Yöneticilere ihlal işaretlerini kontrol etmeleri önerildi
Şirket ayrıca aşağıdakiler de dahil olmak üzere tüm Confluence örneklerinin güvenlik ihlali göstergeleri açısından kontrol edilmesini önerir:
- izdiham-yönetici grubunun beklenmedik üyeleri
- beklenmedik yeni oluşturulan kullanıcı hesapları
- Ağ erişim günlüklerinde /setup/*.action istekleri
- Confluence ana dizinindeki atlassian-confluence-security.log dosyasındaki bir istisna mesajında /setup/setupadministrator.action’ın varlığı
Bir yamanın piyasaya sürülmesiyle, tehdit aktörlerinin yamalı zayıflığı keşfetmek için yayımlanan güvenlik yamalarını farklılaştırarak kullanılabilir bir istismarın oluşturulmasını hızlandırma olasılığı artar.
AvosLocker ve Cerber2021 fidye yazılımı, Linux botnet kötü amaçlı yazılımı ve kripto madencilerini içeren önceki olaylar, konunun aciliyetinin altını çizerken, kötü niyetli aktörler için geçmişteki çekiciliği göz önüne alındığında, Confluence sunucularının güvenliğini hemen sağlamak son derece önemlidir.
Geçtiğimiz yıl CISA, siber güvenlik firması Rapid7 ve tehdit istihbarat şirketinin önceki uyarılarına dayanarak federal kurumlara, doğada istismar edilen başka bir kritik Confluence güvenlik açığını (CVE-2022-26138) düzeltme emri verdi. Gri Gürültü.