Atlassian Confluence Sunucusu veya Veri Merkezi kurulumunu kendiniz barındırıyorsanız, PoC’nin ve teknik ayrıntıların zaten herkese açık olduğu yüksek önemdeki bir RCE kusurunu (CVE-2024-21683) düzeltmek için mevcut en son sürüme yükseltme yapmalısınız.
CVE-2024-21683 Hakkında
Confluence Sunucusu ve Veri Merkezi, kurumsal ortamlarda bilgi tabanlarını, belgeleri yönetmek ve işbirliğini standartlaştırmak için yaygın olarak kullanılan yazılım çözümleridir.
CVE-2024-21683, silah haline getirilmesi kolay (özel hazırlanmış bir JavaScript dil dosyası aracılığıyla) ve yararlanılması için hiçbir kullanıcı etkileşimi gerektirmeyen, ancak diğer ön koşulların yerine getirilmesi gerektiğinden kritik olarak kabul edilmeyen bir uzaktan kod yürütme güvenlik açığıdır:
- Saldırganın Confluence’ta oturum açması gerekir
- Saldırganın yeni makro dilleri ekleyebilmesi için yeterince yüksek ayrıcalıklara sahip olması gerekir
- Kötü amaçlı Java kodu içeren JavaScript dosyası, Kod Makrosunu Yapılandır > Yeni bir dil ekle
Sonicwall araştırmacıları, “Bu güvenlik açığı, ‘Kod Makrosunu Yapılandır’ bölümünün ‘Yeni dil ekle’ işlevindeki giriş doğrulama mekanizmasındaki bir kusur nedeniyle ortaya çıkıyor” dedi.
“Bu işlev, kullanıcıların biçimlendirmeyi ve sözdizimi vurgulamayı özelleştirmek için yeni bir kod bloğu makro dili tanımı yüklemesine olanak tanıyor. Javascript dosyasının özel fırça sözdizimine göre biçimlendirilmesini bekler. Yetersiz doğrulama, kimliği doğrulanmış saldırganın, sunucuda yürütülecek bir dosyaya (…) gömülü kötü amaçlı Java kodunu enjekte etmesine olanak tanır.”
CVE-2024-21683 için bir PoC GitHub’da bulunabilir ve güvenlik araştırmacısı Huong Kieu tarafından hazırlanan bir PoC’ye dayanmaktadır.
Confluence’ı en kısa sürede yükseltin
Sonicwall araştırmacıları, “Confluence Server’ın bir kuruluşun bilgi tabanını korumadaki önemli rolü göz önüne alındığında, kullanıcıların örneklerini satıcı tavsiyesinde belirtildiği gibi en son sürümlere yükseltmeleri şiddetle tavsiye edilir” tavsiyesinde bulundu.
Veri Merkezi ve Confluence Server’daki güvenlik açıklarından saldırganlar tarafından düzenli olarak yararlanılıyor.