Atlassian, kamuya açık Confluence Veri Merkezi ve Sunucu örneklerini etkileyen, aktif olarak yararlanılan kritik bir sıfır gün kusurunu içerecek düzeltmeler yayınladı.
Şu şekilde izlenen güvenlik açığı: CVE-2023-22515uzaktan istismar edilebilir ve harici saldırganların yetkisiz Confluence yönetici hesapları oluşturmasına ve Confluence sunucularına erişmesine olanak tanır.
Confluence’ın 8.0.0’dan önceki sürümlerini etkilemez. Atlassian.net alan adı üzerinden erişilen Confluence siteleri de bu soruna karşı savunmasız değildir.
Kurumsal yazılım hizmetleri sağlayıcısı, sorunun “bir avuç müşteri” tarafından fark edildiğini söyledi. Confluence Data Center ve Server’ın aşağıdaki sürümlerinde bu sorun giderilmiştir:
- 8.3.3 veya üstü
- 8.4.3 veya üstü ve
- 8.5.2 (Uzun Süreli Destek sürümü) veya üzeri
Ancak şirket, istismarın niteliği, ölçeği ya da güvenlik açığının temel nedeni hakkında daha fazla ayrıntı açıklamadı.
Güncelleştirmeleri uygulayamayan müşterilere, etkilenen örneklere harici ağ erişimini kısıtlamaları önerilir.
Atlassian, “Ayrıca, Confluence örneklerindeki /setup/* uç noktalarına erişimi engelleyerek bu güvenlik açığına yönelik bilinen saldırı vektörlerini azaltabilirsiniz” dedi. “Bu, ağ katmanında veya Confluence yapılandırma dosyalarında aşağıdaki değişiklikleri yaparak mümkündür.”
Şirket ayrıca şirket içi bir örneğin potansiyel olarak ihlal edilip edilmediğini belirlemek için aşağıdaki güvenlik ihlali göstergelerini (IoC’ler) sağlamıştır:
- izdiham-yönetici grubunun beklenmedik üyeleri
- beklenmedik yeni oluşturulan kullanıcı hesapları
- Ağ erişim günlüklerinde /setup/*.action istekleri
- Confluence ana dizinindeki atlassian-confluence-security.log dosyasındaki bir istisna mesajında /setup/setupadministrator.action’ın varlığı
Atlassian, “Confluence Sunucu/DC örneğinizin güvenliğinin ihlal edildiği tespit edilirse, tavsiyemiz derhal sunucuyu kapatıp ağ/İnternet bağlantısını kesmenizdir” dedi.
“Ayrıca, potansiyel olarak bir kullanıcı tabanını paylaşan veya güvenliği ihlal edilmiş sistemle ortak kullanıcı adı/şifre kombinasyonlarına sahip olan diğer sistemleri de derhal kapatmak isteyebilirsiniz.”
Rapid7’den Caitlin Condon, “Ayrıcalık yükseltme güvenlik açığının kritik önem derecesine sahip olması alışılmadık, ancak benzeri görülmemiş bir durum” dedi ve kusurun “tipik olarak tek başına bir ayrıcalık yükseltme sorunundan ziyade bir kimlik doğrulama atlama veya uzaktan kod yürütme zinciriyle daha tutarlı olduğunu” ekledi. “
Geçmişte tehdit aktörleri tarafından geniş çapta istismar edilen Atlassian Confluence örneklerindeki kusurlar nedeniyle müşterilerin hemen sabit bir sürüme güncelleme yapması veya uygun hafifletici önlemleri uygulaması önerilir.