Atlassian, Confluence Veri Merkezi ve Sunucusunda vahşi ortamda istismar edilen kritik bir sıfır gün güvenlik açığını (CVE-2023-22515) düzeltti.
Şirket, “Atlassian’a, harici saldırganların, yetkisiz Confluence yönetici hesapları oluşturmak ve Confluence örneklerine erişmek için kamuya açık Confluence Veri Merkezi ve Sunucu örneklerinde daha önce bilinmeyen bir güvenlik açığından yararlanmış olabileceği bir avuç müşteri tarafından bildirilen bir sorun hakkında bilgi verildi” dedi.
CVE-2023-22515 Hakkında
Atlassian, CVE-2023-22515’i kritik bir ayrıcalık yükseltme güvenlik açığı olarak tanımlıyor ve bunun Confluence Data Center ile Server 8.0.0 ve sonraki sürümlerini etkilediğini doğruladı.
“Bu güvenlik açığı anonim olarak kullanılabildiğinden, halka açık internetteki örnekler özellikle risk altındadır. Confluence sitenize bir üzerinden erişiliyorsa atlassian.net Şirket, alan adının Atlassian tarafından barındırıldığını ve bu soruna karşı savunmasız olmadığını belirtti.
Rapid7’deki güvenlik açığı araştırması başkanı Caitlin Condon, ayrıcalık yükseltme güvenlik açığının kritik olarak değerlendirilmesinin olağandışı (ancak benzeri görülmemiş) olduğunu belirtti.
“Atlassian’ın tavsiyesi, güvenlik açığının uzaktan istismar edilebileceğini ima ediyor; bu da genellikle kendi başına bir ayrıcalık yükseltme sorunundan ziyade kimlik doğrulama atlama veya uzaktan kod yürütme zinciriyle daha tutarlıdır. Güvenlik açığının normal bir kullanıcı hesabının yönetici konumuna yükselmesine izin vermesi mümkündür; özellikle Confluence, onay gerektirmeden yeni kullanıcı kayıtlarına izin verir, ancak bu özellik varsayılan olarak devre dışıdır” dedi.
Sabitleme ve hafifletme
Yöneticilerin etkilenen kurulumları sabit sürümlerden birine yükseltmeleri önerilir: 8.3.3 veya üzeri, 8.4.3 veya üzeri, 8.5.2 veya üzeri.
Bu mümkün değilse, harici ağlardan örneklere erişimin kesilmesi ve sunucuya erişimin engellenmesi gibi azaltıcı önlemler uygulamalıdırlar. /kurmak/* Confluence örneklerindeki uç noktalar.
Yöneticilerin ayrıca güvenlik ihlali göstergelerini kontrol etmeleri önerilir; bunlar:
- Beklenmedik üyeler izdiham-yönetici grup
- Beklenmeyen yeni oluşturulan kullanıcı hesapları
- Talepler /setup/*.action ağ erişim günlüklerinde
- Varlığı /setup/setupadministrator.action bir istisna mesajında atlassian-confluence-security.log Confluence ana dizininde
Geçen ay Qualys, hem eski hem de yeni en çok istismar edilen 20 güvenlik açığının bir listesini yayınladı. Bunların arasında Atlassian Confluence Server’daki CVE-2021-26084 de yer alıyor; bu, iki yıl önce yamalanmış ancak hâlâ saldırganlar tarafından istismar ediliyor.