Avustralyalı yazılım şirketi Atlassian, yöneticileri, İnternet’e maruz kalan Confluence örneklerini, başarılı bir şekilde kullanılmasının ardından veri kaybına yol açabilecek kritik bir güvenlik açığına karşı derhal yamalamaları konusunda uyardı.
Confluence Veri Merkezi ve Confluence Sunucu yazılımının tüm sürümlerini etkileyen uygunsuz bir yetkilendirme güvenlik açığı olarak tanımlanan hata, CVE-2023-22518 olarak takip ediliyor ve herkesin erişebildiği örnekleri kritik risk altına sokuyor.
Tehdit aktörleri bu kusuru etkilenen sunuculardaki verileri yok etmek için kullanabilir ancak hata, örnek verilerinin sızması amacıyla kullanılamayacağı için gizliliği etkilemez. Atlassian.net alanı üzerinden erişilen Atlassian Cloud siteleri de bu güvenlik açığından etkilenmez.
Atlassian’ın Bilgi Güvenliği Baş Sorumlusu (CISO) Bala Sathiamurthy, “Sürekli güvenlik değerlendirme süreçlerimizin bir parçası olarak, Confluence Veri Merkezi ve Sunucu müşterilerinin, kimliği doğrulanmamış bir saldırgan tarafından kullanılması durumunda önemli miktarda veri kaybına karşı savunmasız olduklarını keşfettik” dedi.
“Şu anda aktif bir istismar raporu yok; ancak müşterilerin, bulut sunucularını korumak için derhal harekete geçmesi gerekiyor.”
Şirket, Confluence Veri Merkezi ve Sunucu 7.19.16, 8.3.4, 8.4.4, 8.5.3 ve 8.6.1 sürümlerinde kritik CVE-2023-22518 güvenlik açığını düzeltti.
Atlassian, yöneticileri hemen sabit bir sürüme yükseltme yapmaları ve bu mümkün değilse, yama yapılmamış örneklerin yedeklenmesi ve yükseltilinceye kadar İnternet erişiminin engellenmesi de dahil olmak üzere hafifletici önlemlerin uygulanması konusunda uyardı.
Şirket, “Kullanıcı kimlik doğrulamasına sahip olanlar da dahil olmak üzere, genel internete erişilebilen örneklerin, siz yama uygulayana kadar harici ağ erişimiyle sınırlandırılması gerekir” dedi.
Bu ayın başlarında CISA, FBI ve MS-ISAC, ağ yöneticilerini Atlassian Confluence sunucularını, CVE-2023-22515 olarak izlenen, aktif olarak istismar edilen bir ayrıcalık yükseltme kusuruna karşı derhal yamalamaları konusunda uyardı.
Ortak danışma belgesinde, “Kullanım kolaylığı nedeniyle, CISA, FBI ve MS-ISAC, yama yapılmamış Confluence örneklerinin hükümet ve özel ağlarda yaygın şekilde sömürülmesini görmeyi bekliyor” diye uyardı.
Microsoft, Çin destekli Storm-0062 (diğer adıyla DarkShadow veya Oro0lxy) tehdit grubunun bu kusuru en az 14 Eylül 2023’ten bu yana sıfır gün olarak kullandığını açıkladı.
Savunmasız Confluence sunucularına mümkün olan en kısa sürede yama uygulanması son derece önemlidir; zira bunların daha önce Linux botnet kötü amaçlı yazılımlarını, kripto madencilerini ve AvosLocker ve Cerber2021 fidye yazılımlarını zorlayan yaygın saldırılara hedef olduğu göz önüne alınırsa.