Atlassian, Confluence Veri Merkezi ve Sunucusunun birden fazla sürümünde bulunan yüksek önem derecesine sahip bir güvenlik açığını açıkladı.
Bu güvenlik açığına ilişkin CVE, CVE-2024-21683 olarak atandı ve önem derecesi 8,3 (Yüksek) olarak verildi.
Confluence, Confluence Data Center ve Server’ın en son sürümlerinde bu güvenlik açığını gidermiş ve gerekli yamaları yayınlamıştır. Ancak araştırmacılar bu güvenlik açığından yararlanacak bir yöntem keşfettiler.
Danışma belgesine göre bu güvenlik açığı, belirli düzeyde ayrıcalıklara sahip kimliği doğrulanmış bir tehdit aktörünün etkilenen cihazlarda rastgele komutlar yürütmesine olanak tanıyan Confluence Veri Merkezi’nde Uzaktan kod yürütmeyle ilişkilendirildi.
Bir tehdit aktörünün bu güvenlik açığından başarıyla yararlanabilmesi için, güvenlik açığı bulunan sisteme ağ erişimine ve önkoşul olarak yeni makro dili ekleme ayrıcalığına sahip olması gerekir.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
“Kod Makrosunu Yapılandır” bölümünün “Yeni bir dil ekle” işlevi, kullanıcıların biçimlendirmeyi ve sözdizimi vurgulamayı özelleştirmek için yeni bir kod bloğu makro dili yüklemesine olanak tanır.
Ancak kimliği doğrulanmış bir saldırgan, bu işlevselliğe kötü amaçlı bir Javascript dosyası yükleyebilir ve bu, etkilenen cihazlara kötü amaçlı Java kodu yerleştirebilir.
.webp)
Bu istismar, sunucuya yüklendiğinde yürütülecek Java.lang.Runtime.getRuntime().exec(”touch /tmp/poc”) gibi enjekte edilecek bir kod içeren kötü amaçlı bir JS dosyası hazırlanarak yapılabilir. Bu yürütme, dosyanın yetersiz doğrulanması nedeniyle gerçekleşir.
Bu zararlı java kodu, değerlendirilmek üzere WEB-INF/atlassian-bundled-plugins/com.atlassian.confluence.ext.newcode-macro-plugin-5.0.1 içerisinde bulunan “RhinoLanguageParser” sınıfının “parseLanguage” metoduna gönderilmektedir. .jar!/com/atlassian/confluence/ext/code/languages/impl/RhinoLanguageParser.class konumu.
.webp)
Ayrıca “script” değişkeni oluşturularak “evaluateString” metodu zararlı java kodunu işleyecektir. Bu “evaluateString” metodu daha sonra kodu “ScriptRuntime” sınıfının “doTopCall” metoduna iletecektir.
“doTopCall” yöntemi, bu kötü amaçlı Java kodunu çalıştıracak ve bu da savunmasız kişiler üzerinde rastgele kod yürütülmesine neden olacaktır.
Ancak bu güvenlik açığı Confluence Data Center ve Server’ın en son sürümlerine yamanmıştır.
Etkilenen Ürünler ve Sürümlerde Düzeltilenler
| Ürün | Etkilenen sürümler | Sabit versiyonlar |
| Confluence Veri Merkezi | 8.9.08.8.0’dan 8.8.1’e kadar 8.7.0’dan 8.7.2’ye 8.6.0’dan 8.6.2’ye 8.5.0’dan 8.5.8’e LTS8.4.0’dan 8.4.5’e kadar 8.3.0’dan 8.3.4’e 8.2.0’dan 8.2.38.1.0’dan 8.1.4’e kadar 8.0.0’dan 8.0.4’e 7.20.0’dan 7.20.3’e 7.19.0’dan 7.19.21’e kadar LTS7.18.0’dan 7.18.3’e kadar 7.17.0’dan 7.17.5’e kadar Önceki sürümler | 8.9.18.9.18.9.18.9.18.9.1 veya 8.5.9 LTS önerilir8.9.1 veya 8.5.9 LTS önerilir8.9.1 veya 8.5.9 LTS önerilir8.9.1 veya 8.5.9 LTS önerilir8.9.1 veya 8.5.9 LTS önerilir8. 9.1 veya 8.5.9 LTS önerilir8.9.1 veya 8.5.9 LTS önerilir8.9.1 veya 8.5.9 LTS önerilir veya 7.19.22 LTS8.9.1 veya 8.5.9 LTS önerilir veya 7.19.22 LTS8.9.1 veya 8.5.9 LTS önerilir veya 7.19.22 LTS8.9.1 veya 8.5.9 LTS önerilir veya 7.19.22 LTS |
| Birleşme Sunucusu | 8.5.0’dan 8.5.8’e LTS8.4.0’dan 8.4.5’e 8.3.0’dan 8.3.4’e 8.2.0’dan 8.2.3’e 8.1.0’dan 8.1.4’e 8.0.0’dan 8.0.4’e 7.20.0’dan 7.20’ye. 37.19.0’dan 7.19.21’e LTS7.18.0’dan 7.18.3’e 7.17.0’dan 7.17.5’e kadarDaha önceki tüm sürümler | 8.5.9 LTS önerilir8.5.9 LTS önerilir8.5.9 LTS önerilir8.5.9 LTS önerilir8.5.9 LTS önerilir8.5.9 LTS önerilir8.5.9 LTS önerilir8.5.9 LTS önerilir veya 7.19.22 LTS8.5.9 LTS önerilir veya 7.19.22 LTS8.5.9 LTS önerilir veya 7.19.22 LTS8.5.9 LTS önerilir veya 7.19.22 LTS |
Tehdit aktörlerinin bu güvenlik açığından yararlanmasını önlemek için Confluence kullanıcılarının en son sürümlere yükseltmeleri önerilir.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo