Австралийская компания Atlassian выпустила экстренные обновления безопасности, устраняющие уязвимость в максимальной степени тяжести "нулевого дня" в программном обеспечении Confluence Data Center и Server, которая использовалась в атаках.
"Atlassian" стал любимцем нескольких тысяч человек, где внешние злоумышленники могли использовать ранее неизвестную уязвимость в общедоступных экземплярах Confluence Центр обработки данных и сервер для создания неавторизованных учетных записей администраторов Confluence и доступа к экземплярам Confluence", - говорится в сообщении компании.
"Облачные сайты Atlassian Cloud не затронуты этой уязвимостью. Если доступ к вашему сайту Confluence осуществляется через домен atlassian.net, то он размещен на сервере Atlassian и не является проблеме проблеме"
Отслеживаемый как CVE-2023-22515, этот критический недостаток повышения привилегий затрагивает Confluence Data Center и Server 8.0.0 и более поздние версии и описывается как возможность удаленной эксплуатациии в атаках низкой сложностии, не требующих взаимодействия с пользователем
Клиентам, использующим уязвимые версии Confluence Data Center и Server, рекомендуется как можно скорее обновить свои экземпляры до одной из исправленных версий (т.е. 8.3.3 или более поздней, 8.4.3 или более поздней, 8.5.2 или более поздней)
Помимо принятия мер по обновлению и устранению последствий, компания Atlassian настоятельно рекомендует клиентам закрыть затронутые вирусом экземпляры или изолировать их от доступа в Интернет, если немедленное исправление невозможно
Администраторы могут устранить известные векторы атак, связанные с этой уязвимостью, заблокировав доступ к конечным точкам /setup/* на экземплярах Confluence
"Особому риску подвергаются экземпляры, находящиеся в публичном Интернете, поскольку данная уязвимость может быть использована анонимно", - добавили в Atlassian
Администраторам рекомендуется проверить наличие признаков нарушения
Компания также рекомендует проверить все экземпляры Confluence на наличие признаков взлома, в том числе
- неожиданное появление членов группы confluence-administrator
- неожиданно созданные новые учетные записи пользователей
- наличие запросов /setup/*.action в журналах сетевого доступа
- Наличие /setup/setupadministrator.action в сообщении об исключении в файле atlassian-confluence-security.log в домашнем каталоге Confluence
С выходом исправления возрастает вероятность того, что угрожающие субъекты будут использовать выпущенные исправления безопасности для обнаружения исправленной уязвимости, что может ускорить создание пригодного для использования эксплойта
Немедленная защита серверов Confluence крайне важна, учитывая их привлекательность для злоумышленников: предыдущие инциденты с вымогателями AvosLocker и Cerber2021, вредоносными ботнетами Linux и майнерами криптоваовалют подчеркивают актуальность данного вопроса
В прошлом году CISA предписала федеральным агентствам устранить еще одну критическую уязвимость Confluence (CVE-2022-26138), эксплуатируемую в дикой природе, на основании предыдущих предупреждений от компании Rapid7, специализирующейся на кибербезопасности, и компании GreyNoise, занимающейся анализом угроз.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!