Atlassian Confluence Veri Merkezi ve Sunucusunun bazı versiyonlarındaki ciddi bir güvenlik açığı bilgisayar korsanları tarafından istismar edildi.
Sahte yönetici hesapları oluşturmak ve Confluence sunucularına erişmek için bu kusuru kullandılar. Bu kusur CVE-2023-22515 olarak adlandırılıyor ve Confluence’ın 8.0.0’dan 8.19.1’e kadar olan sürümlerini etkiliyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Çok Durumlu Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC), ağ yöneticilerini Confluence sunucularını mümkün olan en kısa sürede güncellemeleri konusunda uyardı.
Bu kusuru kullanarak saldırıları tespit etme ve bunlara yanıt verme yollarını da sağladılar. Atlassian, 4 Ekim 2023’te bu kusur için bir yama yayınladı.
Ancak bilgisayar korsanları yama yayınlanmadan önce onu istismar etti ve bu da onu sıfır gün saldırısı haline getirdi. Atlassian Cloud siteleri bu kusurdan etkilenmez.
API güvenliği yalnızca bir öncelik değildir; işletmelerin ve kuruluşların yaşam çizgisidir. Ancak bu karşılıklı bağlantı, genellikle yüzeyin altına gizlenmiş bir dizi güvenlik açığını da beraberinde getiriyor.
Şimdi üye Ol
Bilgisayar korsanları bu kusurdan yararlanmak için basit bir yöntem kullandılar. Herkese açık olan /server-info.action uç noktasına ve ardından yeni bir yönetici kullanıcı oluşturmak için /setup/setupadministrator.action uç noktasına bir istek gönderdiler.
Bu kusur, Kırık Erişim Kontrolü güvenlik açığı olarak sınıflandırılıyor; bu, bilgisayar korsanlarının normal güvenlik kontrollerini atlayabileceği anlamına geliyor. Bilgisayar korsanları Confluence sunucularına erişti ve onlardan veri çaldı.
Diğer hizmetlere veri indirmek veya yüklemek için cURL ve Rclone gibi araçları kullandılar. Bilgisayar korsanlarının veri çalmak için kullandığı başka yollar da olabilir, ancak şu ana kadar gözlemlenenler bunlar.
Ne yapmak gerekiyor
Bu kusur çok tehlikelidir ve istismar edilmesi kolaydır. CISA, bunu 5 Ekim 2023’te Bilinen Yararlanılan Güvenlik Açıkları listesine ekledi. Confluence’ın etkilenen bir sürümünü kullanıyorsanız hemen harekete geçmeniz gerekir.
Confluence sunucunuzu korumanın en iyi yolu, onu sabit bir sürüme güncellemek veya bunu yapana kadar çevrimdışına almaktır. Atlassian, sunucunuzun güncellenmesi ve hangi sürümlerin düzeltildiği konusunda talimatlar sağlamıştır.
Ayrıca bazı saldırı vektörlerini engellemek için bazı geçici önlemler de önerdiler ancak bunlar tüm saldırıları durdurmak için yeterli değil. Herhangi bir saldırı kanıtı bulursanız hızlı bir şekilde müdahale etmeli ve olaya müdahale yönergelerini izlemelisiniz.
Kuruluşların, bu IP adreslerini engellemek gibi herhangi bir işlem yapmadan önce dikkatli olmaları ve bu IP adreslerini doğrulamaları gerekir. Microsoft ayrıca istismar trafiğiyle ilişkili ek IP adresleri de sağlamıştır.
Tespit ve Olay Müdahalesi
Ağ savunucularının Proofpoint’in Yükselen Tehdit imzalarını incelemesi ve dağıtması ve istismar işaretleri için uyarılar oluşturması şiddetle tavsiye edilir.
Ek olarak, Confluence sunucularından uygulama ve sunucu düzeyindeki günlük kayıtları, istismar işaretlerini tanımlamak için ayrı bir günlük arama ve uyarı sisteminde toplanmalıdır.
Kuruluşların, bir güvenlik ihlalinden şüphelenmeleri veya tespit etmeleri durumunda, etkilenen ana bilgisayarların karantinaya alınması, yeni hesap kimlik bilgilerinin sağlanması, güvenliği ihlal edilen ana bilgisayarların yeniden görüntülenmesi ve güvenlik ihlalinin ilgili yetkililere bildirilmesi de dahil olmak üzere derhal harekete geçmeleri önerilir.
Azaltıcı Önlemler ve En İyi Uygulamalar
Bu güvenlik açığıyla ilişkili riskleri azaltmak için CISA, FBI ve MS-ISAC, sabit sürümlere yükseltme yapılmasını, kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamanın (MFA) zorunlu kılınmasını ve hem üretim hem de kurumsal ortamlarda en iyi siber güvenlik uygulamalarına bağlı kalınmasını önermektedir.
Bu önlemler, siber risklerin olasılığını ve etkisini azaltırken kuruluşların güvenli duruşunu güçlendirmeyi amaçlamaktadır.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.