Компания Atlassian предупредила администраторов о том, что уже доступен публичный эксплойт для критической ошибки безопасности Confluence, которая может быть использована в атаках на уничтожение данных, направленных на открытые для Интернета и непропатченные экземпляры.
Уязвимость CVE-2023-22518, получившая индекс 9.1/10, затрагивает все версии программного обеспечения Confluence Data Center и Confluence Server и связана с некорректной авторизацией.
В обновлении к первоначальному сообщению компания Atlassian сообщила, что обнаружен общедоступный эксплойт, который подвергает критическому риску общедоступные экземпляры.
"В рамках постоянного мониторинга Atlassian по данному CVE мы обнаружили публично размещенную критическую информацию об уязвимости, что повышает риск ее эксплуатации", - говорится в сообщении компании.
"Пока нет сообщений об активном использовании уязвимости, однако клиентам необходимо принять срочные меры для защиты своих инстансов. Если вы уже применили исправление, никаких дополнительных действий не требуется".
Хотя злоумышленники могут использовать эту уязвимость для стирания данных на затронутых серверах, она не может быть использована для кражи данных, хранящихся на уязвимых экземплярах. Важно также отметить, что сайты Atlassian Cloud, доступ к которым осуществляется через домен atlassian.net, по данным Atlassian, не затронуты.
Сегодняшнее предупреждение последовало за другим, выпущенным директором по информационной безопасности (CISO) компании Atlassian Балой Сатьямурти (Bala Sathiamurthy), когда уязвимость была исправлена во вторник.
"В рамках непрерывного процесса оценки безопасности мы обнаружили, что клиенты центров обработки данных и серверов Confluence подвержены риску значительной потери данных в случае их эксплуатации неавторизованным злоумышленником", - сказал Сатьямурти.
"На данный момент сообщений об активной эксплуатации нет, однако заказчики должны принять срочные меры для защиты своих экземпляров".
Компания Atlassian устранила критическую уязвимость CVE-2023-22518 в Confluence Data Center и Server версий 7.19.16, 8.3.4, 8.4.4, 8.5.3 и 8.6.1.
Доступны меры по устранению уязвимости
Компания призвала администраторов немедленно обновить свое программное обеспечение, а если это невозможно, то применить меры по снижению риска, включая резервное копирование непропатченных экземпляров и блокирование доступа в Интернет к непропатченным серверам до их обновления.
Если вы не можете немедленно обновить свои экземпляры Confluence, вы также можете устранить известные векторы атак, заблокировав доступ к следующим конечным точкам, изменив файл //confluence/WEB-INF/web.xml в соответствии с описанием в бюллетене и перезапустив уязвимый экземпляр:
- /json/setup-restore.action
- /json/setup-restore-local.action
- /json/setup-restore-progress.action
"Эти меры по снижению рисков ограничены и не заменяют исправления вашего экземпляра; вы должны выполнить исправление как можно скорее", - предупреждает Atlassian.
В прошлом месяце CISA, FBI и MS-ISAC предупредили защитников о необходимости срочного исправления серверов Atlassian Confluence от активно эксплуатируемого дефекта повышения привилегий, отслеживаемого как CVE-2023-22515.
Позднее Microsoft обнаружила, что китайская группа угроз под ником Storm-0062 (также известная как DarkShadow или Oro0lxy) эксплуатирует этот дефект как "нулевой день" с 14 сентября 2023 года.
Защита уязвимых серверов Confluence крайне важна, учитывая, что они ранее использовались в широкомасштабных атаках, в ходе которых распространялись программы-вымогатели AvosLocker и Cerber2021, вредоносные ботнеты для Linux и криптомайнеры.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!