Търсене
Close this search box.

Критична грешка в Atlassian Confluence в процес на активно експлоатиране

Разкрита е критична уязвимост за повишаване на привилегиите в Atlassian Confluence Server и Confluence Data Center, за която има данни, че се използва в дивата природа като бъг от нулев ден.

Недостатъкът (CVE-2023-22515) засяга локалните екземпляри на платформите във версии 8.0.0 и по-нови.

„Atlassian беше уведомена за проблем, докладван от няколко клиенти, при който външни нападатели може да са използвали неизвестна досега уязвимост в публично достъпни инстанции Confluence Data Center и Server, за да създадат неоторизирани Confluence администраторски акаунти и да получат достъп до инстанции на Confluence“, се казва в консултацията на Atlassian относно CVE-2023-22515, публикувана късно на 4 октомври.

Atlassian не е предоставила оценка CVSSv3, но според вътрешните ѝ оценки на нивото на сериозност оценката би била в диапазона от 9 до 10.

Залогът е висок. Много организации използват Confluence за управление на проекти и сътрудничество между екипи, разпръснати на локални и отдалечени места. Често в средите на Confluence могат да се съхраняват чувствителни данни както за вътрешни проекти, така и за клиенти и партньори на компанията

Необичайна критична оценка: Възможност за отдалечено използване на ескалация на права?

Критичната оценка е сравнително рядко срещана за проблеми с повишаване на привилегиите, посочва изследователят от Rapid7 Кейтлин Кондън в предупреждение за бъга в Confluence.

В консултацията на Atlassian обаче се отбелязва още, че „случаите в публичния интернет са особено изложени на риск, тъй като тази уязвимост може да се използва анонимно“, което показва, че тя може да се използва от разстояние, обясни тя – рядка ситуация. Тя отбеляза, че критичната оценка „обикновено съответства повече на заобикаляне на удостоверяването или отдалечено верижно изпълнение на код, отколкото на проблем с повишаване на привилегиите сам по себе си“.

Въпреки това Кондън добави: „Възможно е уязвимостта да позволи на обикновен потребителски акаунт да се издигне до администраторски – по-специално Confluence позволява регистрирането на нови потребители без одобрение, но тази функция е изключена по подразбиране.“

Пач сега: Confluence е топ мишена за кибератаките
Atlassian е издала кръпка; фиксираните версии са: 8.3.3 или по-нова; 8.4.3 или по-нова; и 8.5.2 (издание за дългосрочна поддръжка) или по-нова.

Що се отнася до други възможности за защита, Atlassian не уточнява къде се намира грешката или други технически подробности, въпреки че отбелязва, че известните вектори на атака могат да бъдат намалени чрез блокиране на достъпа до крайните точки /setup/* на инстанциите на Confluence, което е добър показател за това къде се намира проблемът.

Администраторите трябва да ограничат външния мрежов достъп до уязвимите системи, докато те не бъдат обновени, а Atlassian препоръчва да се проверят всички засегнати инстанции на Confluence за изброените в консултацията индикатори за компрометиране (IoC).

Патчингът трябва да е на първо място; Atlassian е известна цел за кибератаките, както се вижда от настоящата експлоатация от нулев ден, но има и допълнителен прецедент. През юни 2022 г. Atlassian разкри друга критична уязвимост от нулев ден, засягаща Confluence Server и Data Center (CVE-2022-26134), като тази уязвимост е по-типична за отдалечено изпълнение на код. След разкриването бързо последваха скриптове за доказване на концепцията и масова експлоатация, достигайки пик от 100 000 опита за експлоатация дневно.

Източник: DARKReading

Подобни публикации

15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
Бъдете социални
Още по темата
20/03/2024

Новият инструмент на GitHub...

GitHub представи нова функция с изкуствен...
20/03/2024

Ivanti отстрани критична гр...

Ivanti предупреди клиентите си незабавно да...
14/03/2024

Fortinet предупреждава за к...

Fortinet поправи критична уязвимост в софтуера...
Последно добавени
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!