3. Taraf Risk Yönetimi, İhlal Bildirimi, Siber Suçlar
Kritik Ayrıcalık Yükseltme Hatası, Yönetici Hesapları Oluşturulmasına Yardımcı Olur
Sayın Mihir (MihirBagwe) •
5 Ekim 2023
Bilgisayar korsanları, yönetici hesapları oluşturmak ve yazılımın şirket içi örneklerine, Atlassian’ın günlük milyonlarca aktif kullanıcıya hizmet veren Confluence Veri Merkezi ve Sunucu ürünlerine sınırsız erişim sağlamak için popüler bir çalışma alanı işbirliği aracında sıfır günü silah haline getirdi.
Ayrıca bakınız: İsteğe Bağlı | Kafanızı Buluta Taşıyın: Modern Güvenlik Sorunları ve Çözümleri
Avustralyalı teknoloji firması Çarşamba günü yayınlanan bir güvenlik tavsiyesinde, “bir avuç müşterinin” Confluence Veri Merkezi ve Sunucu örneklerinde “harici saldırganların daha önce bilinmeyen bir güvenlik açığından yararlanmış olabileceğini” bildirdiğini söyledi.
CVE-2023-22515 olarak takip edilen kusur, CVSS puanı 10 olan kritik bir ayrıcalık yükseltme güvenlik açığıdır. Güvenlik açığı yalnızca şirket içi örnekleri etkiler. Bulutta bulunanlar ve 8.0.0’dan önceki sürümlere bir atlassian.net etki alanı bu güvenlik açığından etkilenmez.
Siber güvenlik firması Rapid7, “Ayrıcalık yükseltme güvenlik açığının kritik önem derecesine sahip olması alışılmadık olsa da benzeri görülmemiş bir durum” dedi.
Firma, tavsiye niteliğindeki uyarının, kusurun muhtemelen uzaktan istismar edilebilir olduğunu öne sürdüğünü, bunun da yalnızca bir ayrıcalık yükseltme sorunu olmaktan ziyade tipik olarak kimlik doğrulama atlama veya uzaktan kod yürütme zinciriyle ilişkili olduğu anlamına geldiğini ekledi. Rapid7 araştırmacıları, güvenlik açığının normal bir kullanıcı hesabının yönetici haklarına yükselmesine izin verebileceği olasılığını göz ardı etmedi. Rapid7, “Özellikle Confluence, onay gerektirmeden yeni kullanıcı kayıtlarına izin veriyor, ancak bu özellik varsayılan olarak devre dışıdır” dedi.
Siber güvenlik firması Tenable, Atlassian’da sınırlı bilgi bulunmasına rağmen, azaltma adımlarının etkilenen uç noktayı ortaya çıkardığını söyledi. “Azaltma adımlarına göre, ağ erişiminin engellenmesi /setup/* Tenable, uç noktaların bu güvenlik açığından yararlanma tehdidini azaltacağını söyledi.
Atlassian, kullanıcılara aşağıdaki uzlaşma göstergelerine dikkat etmelerini tavsiye etti:
- Birleşim-yönetici grubunun beklenmedik üyeleri;
- Beklenmeyen yeni oluşturulan kullanıcı hesapları;
- Talepler
/setup/*.actionağ erişim günlüklerinde; - Varlığı
/setup/setupadministrator.actionbir istisna mesajındaatlassian-confluence-security.logConfluence ana dizininde.
Atlassian Confluence, yaygın olarak benimsenmesi nedeniyle popüler bir hedeftir. Haziran 2022’de Atlassian, Confluence Server ve Data Center’ı etkileyen bir başka kritik sıfır gün güvenlik açığı olan CVE-2022-26134 için benzer bir öneri yayınladı. Çin dışında faaliyet gösteriyor gibi görünen çok sayıda tehdit aktörü, uzaktan kod yürütme güvenlik açığından yararlandı (bkz.: Yamasız Atlassian Kesişmesi 0 Günlük Vahşi Doğada İstismara Uğradı).