CVE-2023-22515 ve CVE-2023-22518, yaygın olarak kullanılan bir ekip işbirliği yazılımı olan Atlassian Confluence’da bulunan kritik güvenlik açıklarıdır.
CVE-2023-22515
- Tanım: Bu güvenlik açığı, herkesin erişebildiği Confluence Veri Merkezi ve Sunucu örneklerinde keşfedildi. Saldırganlar, yetkisiz Confluence yönetici hesapları oluşturmak ve Confluence örneklerine erişmek için bundan yararlandı. Bu güvenlik açığı Atlassian Cloud sitelerini etkilemedi.
- Şiddet: Yüksek düzeyde riske işaret eden 9,8 veya 10,0 kritik taban puanına sahiptir. Vektör gösterimi, saldırı vektörünün ağ tabanlı (AV:N), saldırı karmaşıklığının düşük olduğunu (AC:L), ayrıcalık gerektirmediğini (PR:N) ve kullanıcı etkileşimi gerektirmediğini (UI:N) gösterir. Gizliliği, bütünlüğü ve kullanılabilirliği büyük ölçüde etkiler.
CVE-2023-22518
- Tanım: Bu Uygunsuz Yetkilendirme güvenlik açığı, Confluence Data Center ve Server’ın tüm sürümlerini etkiler. Kimliği doğrulanmamış bir saldırganın Confluence’ı sıfırlamasına ve bir yönetici hesabı oluşturmasına olanak tanır. Bu erişimle saldırgan tüm idari eylemleri gerçekleştirebilir ve bu da potansiyel olarak gizlilik, bütünlük ve kullanılabilirliğin tamamen tehlikeye atılmasına yol açabilir. CVE-2023-22515’e benzer şekilde Atlassian Cloud siteleri etkilenmez.
- Şiddet: Temel puan 9,8 olup durumu kritik derecede şiddetli olarak sınıflandırıyor. Vektör bileşenleri CVE-2023-22515’e benzer olup, güvenlik açığının ağ tabanlı saldırı vektörünü, düşük karmaşıklığı, gerekli ayrıcalıkların bulunmamasını, kullanıcı etkileşiminin bulunmamasını ve gizlilik, bütünlük ve kullanılabilirlik üzerinde önemli bir etkiye sahip olduğunu vurgulamaktadır.
Bu güvenlik açıkları, etkilenen sistemlere arka kapılar yerleştirmek için kullanılabildiğinden özellikle tehlikeli olabilir. Arka kapı, genellikle yetkisiz bir kullanıcı tarafından gizlice kurulan, normal kimlik doğrulama prosedürlerini atlamanın bir yöntemidir. Bir arka kapı kurulduğunda, saldırganlar etkilenen sistemlere uzaktan erişebilir ve onları kontrol edebilir; bu da veri hırsızlığına, casusluğa veya ağda daha fazla tehlikeye yol açabilir.
CVE-2023-22515 ve CVE-2023-22518’den yararlanma
Saldırganlar bu güvenlik açıklarını Confluence’a yetkisiz idari erişim sağlamak için kullanabilir. Böyle bir erişimle, potansiyel olarak arka kapı görevi gören kötü amaçlı yazılımlar veya komut dosyaları (web kabukları gibi) yükleyebilirler. Bu arka kapılar, yama tarafından ele alınmayan ayrı, gizli bir erişim noktası oluşturduklarından, asıl güvenlik açığı yamalandıktan sonra bile çalışır durumda kalabilir.
Aon’un Stroz Friedberg Olay Müdahale Hizmetleri, Atlassian Confluence’deki bir güvenlik açığından yararlanmak için tasarlanmış “Effluence” adlı yeni bir kötü amaçlı yazılım türüyle karşılaştı. Bu kötü amaçlı yazılım, kalıcı bir arka kapı görevi görerek saldırganların Confluence’a yamalar uygulandıktan sonra bile sisteme erişimini sürdürmelerine olanak tanır. Confluence’ta kimlik doğrulama gerektirmeden ağ kaynakları arasında yanal harekete ve veri sızmasına olanak tanır, bu da onu özellikle sinsi ve tespit edilmesini zorlaştırır.
Stroz Friedberg, bu kötü amaçlı yazılımı, savunmasız bir Atlassian Confluence Veri Merkezi sunucusuna sahip bir müşteriye yardım ederken keşfetti. Saldırgan, yetkisiz erişim elde etmek ve sunucuya benzersiz bir web kabuğu yerleştirmek için bu güvenlik açığından yararlanarak, geçerli bir kullanıcı hesabına ihtiyaç duymadan sunucudaki tüm web sayfalarına kalıcı erişime olanak sağladı. Bu, genellikle yalnızca kullanıcı Confluence’ta oturum açtığında veya tek bir web sayfasının güvenliği ihlal edildiğinde erişilebilen tipik web kabuklarından farklıdır.
“Effluence” web kabuğu, alttaki Apache Tomcat web sunucusunu ele geçirerek kendisini Confluence ile Tomcat arasına yerleştirir. Bu kurulum, kötü amaçlı yazılımın, web sayfalarını değiştirmeden veya fark edilebilir değişiklikler yapmadan, kimliği doğrulanmamış giriş sayfası da dahil olmak üzere her web sayfasında kullanılabilir olmasını sağlar. Bir istek belirli parametrelerle eşleşene kadar tespit edilmeden kalır.
Kötü amaçlı yazılım iki bölümden oluşur: yükleyici ve yük. Yükleyici kendisini normal bir Confluence eklentisi olarak gizler ancak kötü amaçlı yükünü gizlemek için değiştirilmiş bir meşru Java koleksiyon sınıfı taşır. Yük, tetiklendiğinde, tespit edilmekten kaçınmak için eklentiyi Confluence “Sistem Uygulamaları” arasında gizler. Bu karmaşık yaklaşım, ham Java sınıfının hiçbir zaman dosya sistemine yazılmamasını sağlar ve algılama çabalarını daha da karmaşık hale getirir.
Stroz Friedberg, tespit için web sunucusu erişim kayıtlarının, özellikle de yanıt boyutunun değişiklik gösterdiği statik Confluence sayfalarına erişimin gözden geçirilmesini önerir. Ancak bu yöntem açık Uzlaşma Göstergeleri (IOC’ler) sağlamaz. Ayrıca, kötü amaçlı yazılımın varlığını belirlemeye daha doğrudan bir yaklaşım olan, sunucunun korunmuş bellek görüntülerindeki web kabuğunu tespit etmek için bir Yara kuralı da geliştirdiler.
Stroz Friedberg ayrıca bu kötü amaçlı yazılımın diğer Atlassian ürünlerini ne ölçüde etkilediğinin henüz belirlenmediğini belirtiyor. Eklenti ve yükleyici mekanizması ortak Atlassian API’lerine dayanıyor gibi görünüyor ve bu da bu kötü amaçlı yazılımın JIRA ve BitBucket gibi diğer Atlassian ürünlerine potansiyel olarak uygulanabileceğini gösteriyor. Atlassian Confluence’daki CVE-2023-22515 güvenlik açığı, saldırganların Confluence sunucusunun yönetim alanlarına yetkisiz erişim elde etmesine olanak tanıyor. Bu güvenlik açıklarından “Effluence” arka kapı kötü amaçlı yazılımı yararlanıyor. Bu kötü amaçlı yazılım bir kez yerleştirildikten sonra kalıcı bir arka kapı görevi görüyor; bu da Confluence’a güvenlik yamaları uygulandıktan sonra bile sisteme erişimi sürdürebileceği anlamına geliyor. Bir yama yoluyla kaldırılamamasının nedeni, kötü amaçlı yazılımın kendisini Confluence ile temeldeki Apache Tomcat web sunucusu arasına, sistemin derinliklerine yerleştirmesi ve onu her web sayfasında kullanılabilir hale getirmesi ve tespit edilmesinin zor olmasıdır. Yamalar genellikle başlangıçtaki güvenlik açığını giderir ancak bu güvenlik açığından zaten yararlanmış ve sistemde daha derin bir varlık oluşturmuş olan kötü amaçlı yazılımları kaldıramayabilir.
Bu vaka, siber tehditlerin sürekli gelişen doğasına örnek teşkil etmekte ve kuruluşların bu tür karmaşık saldırılara karşı dikkatli olmalarını, güçlü tespit yöntemleri kullanmalarını ve siber güvenlik stratejilerini düzenli olarak güncelleme ihtiyacını vurgulamaktadır.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacısı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.