Veri Merkezinde kritik bir Atlassian Confluence güvenlik açığı belirlendi ve Sunucu CVE-2023-22515 olarak işaretlendi. Microsoft’un tehdit analistlerinin açıkladığı gibi, kritik güvenlik açığı Çin devleti destekli aktörler tarafından hedef alındı.
Başlangıçta Confluence Data Center’ı ve Sunucu 8.0.0 ve sonraki sürümlerini etkileyen kritik bir ayrıcalık yükseltme güvenlik açığı olarak kategorize edilen bu güvenlik açığı, daha sonra bozuk erişim kontrolünden kaynaklanan bir sorun olarak yeniden sınıflandırıldı.
Kuruluş, güvenlik açığına ilişkin tavsiye belgesini 4 Ekim 2023’te güncelledi; güvenlik açığı, Confluence Data Center ve Confluence Server gibi ürünleri etkiliyor.
Atlassian Confluence Güvenlik Açığı Ülke Destekli Tehdit Aktörleri Tarafından İstismara Uğradı
Atlassian, çok sayıda müşterinin, dış saldırganların Confluence güvenlik açığından yararlanarak yetkisiz Confluence yönetici hesapları oluşturduğu ve Confluence örneklerine erişim sağladığı saldırıların kurbanı olduğunu bildirdi.
Kuruluş ayrıca CVE-2023-22515’in Çin devleti destekli aktörler tarafından aktif olarak kullanıldığını gösteren ikna edici kanıtları da ortaya çıkardı. Microsoft’un güvenlik uzmanları, 14 Eylül’den bu yana CVE-2023-22515’ten yararlanan Storm-0062 (DarkShadow veya Oro0lxy olarak da bilinir) olarak adlandırılan bir ulus devlet tehdit aktörünü yakından izliyor.
Rapid7 araştırmacıları, ilgili risk göstergeleri ile birlikte CVE-2023-22515’in ayrıntılı bir teknik analizini yayınladı. Atlassian’ın verdiği bilgiye göre, Atlassian Confluence’deki bu güvenlik açığı başlangıçta, bir yamanın kullanıma sunulmasından önce, sıfır gün güvenlik açığı olarak vahşi doğada kullanıldı.
Saldırganın taktikleri arasında yeni bir yönetici kullanıcı oluşturmak için CVE-2023-22515’in kullanılması da vardı. Ancak bunun, güvenlik açığından yararlanmanın olası yöntemlerinden yalnızca biri olduğuna inanılıyor.
Analizleri, kimliği doğrulanmamış bir saldırganın, hedef Confluence sunucusunda yeni bir yönetici hesabı oluşturmak için Confluence güvenlik açığından uzaktan yararlanabileceği sonucuna varıyor. Bu, sunucuda depolanan verilerin tamamen tehlikeye atılmasına yol açabilir.
Microsoft Güvenlik Açığı Üstesinden Geliyor
Microsoft, Confluence Veri Merkezi ve Sunucusundaki Confluence güvenlik açığından yararlanan Çin devleti destekli aktörlerin olaya dahil olduğunu duyurdu. CVSS ölçeğinde 10,0 önem derecesi ile bu kusur ciddi bir tehdit oluşturmaktadır.
Confluence uygulamalarına güvenen kuruluşların, potansiyel riskleri azaltmak için mümkün olan en kısa sürede en son sürümlere yükseltmeleri şiddetle tavsiye edilir. Ayrıca gerekli düzeltmeler yapılıncaya kadar bu uygulamaların genel internet erişiminden yalıtılması tavsiye edilir.
Bu güvenlik açığı, ağ erişilebilirliği nedeniyle özellikle endişe vericidir ve güvenlik açığı bulunan bir uygulamaya bağlı herhangi bir cihazı kötüye kullanıma açık hale getirir. Şirket içi bilgi paylaşımında merkezi bir platform olan Confluence’ı etkilediği göz önüne alındığında, etki potansiyeli büyüktür. CVE-2023-22515, Atlassian Confluence kullanan kuruluşların derhal ilgilenmesini gerektiren kritik bir güvenlik açığıdır. İlgilenen kullanıcılar, Atlassian tarafından paylaşılan resmi olarak güncellenen tavsiye ve azaltma tekniklerini incelemek için buraya tıklayabilir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.