Публично достъпен стана кодът за експлоатация на критична уязвимост, която Atlassian разкри в своята технология Confluence Data Center и Server, което засилва необходимостта организациите, използващи платформата за сътрудничество, незабавно да приложат поправката на компанията за нея.
На 3 ноември ShadowServer, който следи интернет за злонамерена дейност, съобщи, че е наблюдавал опити за използване на уязвимостта на Atlassian от поне 36 уникални IP адреса през последните 24 часа.
Atlassian разкри грешката с почти максимална степен на сериозност (9,1 от 10 по скалата CVSS) на 31 октомври с предупреждение от своя CISO за това, че уязвимостта представлява риск от “значителна загуба на данни”, ако бъде използвана.
Грешката, на която е присвоен идентификатор CVE-2023-22518, засяга клиентите на всички версии на Atlassian Data Center и Atlassian Server, но не и тези, които използват хостваните в облака версии на тези технологии на компанията. В описанието на бъга, направено от Atlassian, той е определен като проблем, който включва ниска сложност на атаката, без взаимодействие с потребителя и нещо, което нападателят би могъл да експлоатира с малко или никакви специални привилегии.
Уязвимостта е свързана с неправилно оторизиране, което по същество е слабост, която позволява на нападателя да получи достъп до привилегировани функционалности и данни в дадено приложение. В този случай нападател, който се възползва от уязвимостта, би могъл да изтрие данни в инстанция на Confluence или да блокира достъпа до нея. Но не би могъл да ексфилтрира данни от него, според анализ на фирмата за разузнаване на сигурността Field Effect.
На 2 ноември Atlassian актуализира предупреждението си за уязвимост от 31 октомври с предупреждение, че техническите подробности за CVE-2023-22518 са станали публично достъпни. Информацията увеличава риска от използване на уязвимостта от нападатели, заявиха от Atlassian. “Все още няма съобщения за активна експлоатация, въпреки че клиентите трябва да предприемат незабавни действия, за да защитят своите инстанции”, заявиха от компанията. Съветът повтаря препоръката на Atlassian, когато за първи път разкри грешката по-рано тази седмица. Компанията препоръча на организациите, които не могат да извършат незабавна корекция, да премахнат своите инстанции на Confluence от интернет, докато не могат да извършат корекция.
ShadowServer описва нарастващата активност на експлойтите като включваща опити за качване на файлове и създаване или възстановяване на уязвими екземпляри на Confluence, достъпни от интернет.
“Виждаме около 24 хил. изложени на риск (не непременно уязвими)” инстанции на Atlassian Confluence, заяви ShadowServer. Мнозинството от изложените на риск системи – около 5500 – се намират в Съединените щати. Други държави с относително голям брой изложени на риск системи Atlassian Confluence са Китай с около 3000 системи, Германия с 2000 и Япония с около 1400 изложени на риск инстанции.
CVE-2023-22518 е втората сериозна уязвимост, която Atlassian разкрива в своите широко използвани технологии за сътрудничество Confluence Data Center и Confluence Server през последния месец. На 4 октомври компанията разкри CVE-2023-22515, грешка с максимална тежест и нарушен контрол на достъпа. Atlassian откри грешката едва след като някои клиенти с публични инстанции на Confluence Data Center и Server съобщиха, че са срещнали проблеми с нея. По-късно Atlassian идентифицира нападателя като заплаха от национална държава.
Както и при новия бъг, CVE-2023-22515 също е свързан с ниска сложност на атаката. Опасенията за лекотата, с която може да бъде експлоатиран, предизвикаха съвместна консултация от Агенцията за киберсигурност и инфраструктура на САЩ, ФБР и Многодържавния център за обмен на информация и анализ (MS-ISAC). Консултацията предупреди организациите да се подготвят за широко разпространена дейност за експлоатиране и ги призова да поправят дефекта възможно най-скоро.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.