Публично достъпен стана кодът за експлоатация на критична уязвимост, която Atlassian разкри в своята технология Confluence Data Center и Server, което засилва необходимостта организациите, използващи платформата за сътрудничество, незабавно да приложат поправката на компанията за нея.
На 3 ноември ShadowServer, който следи интернет за злонамерена дейност, съобщи, че е наблюдавал опити за използване на уязвимостта на Atlassian от поне 36 уникални IP адреса през последните 24 часа.
Atlassian разкри грешката с почти максимална степен на сериозност (9,1 от 10 по скалата CVSS) на 31 октомври с предупреждение от своя CISO за това, че уязвимостта представлява риск от “значителна загуба на данни”, ако бъде използвана.
Публично достъпна информация за уязвимостта
Грешката, на която е присвоен идентификатор CVE-2023-22518, засяга клиентите на всички версии на Atlassian Data Center и Atlassian Server, но не и тези, които използват хостваните в облака версии на тези технологии на компанията. В описанието на бъга, направено от Atlassian, той е определен като проблем, който включва ниска сложност на атаката, без взаимодействие с потребителя и нещо, което нападателят би могъл да експлоатира с малко или никакви специални привилегии.
Уязвимостта е свързана с неправилно оторизиране, което по същество е слабост, която позволява на нападателя да получи достъп до привилегировани функционалности и данни в дадено приложение. В този случай нападател, който се възползва от уязвимостта, би могъл да изтрие данни в инстанция на Confluence или да блокира достъпа до нея. Но не би могъл да ексфилтрира данни от него, според анализ на фирмата за разузнаване на сигурността Field Effect.
На 2 ноември Atlassian актуализира предупреждението си за уязвимост от 31 октомври с предупреждение, че техническите подробности за CVE-2023-22518 са станали публично достъпни. Информацията увеличава риска от използване на уязвимостта от нападатели, заявиха от Atlassian. “Все още няма съобщения за активна експлоатация, въпреки че клиентите трябва да предприемат незабавни действия, за да защитят своите инстанции”, заявиха от компанията. Съветът повтаря препоръката на Atlassian, когато за първи път разкри грешката по-рано тази седмица. Компанията препоръча на организациите, които не могат да извършат незабавна корекция, да премахнат своите инстанции на Confluence от интернет, докато не могат да извършат корекция.
Голям брой изложени системи
ShadowServer описва нарастващата активност на експлойтите като включваща опити за качване на файлове и създаване или възстановяване на уязвими екземпляри на Confluence, достъпни от интернет.
“Виждаме около 24 хил. изложени на риск (не непременно уязвими)” инстанции на Atlassian Confluence, заяви ShadowServer. Мнозинството от изложените на риск системи – около 5500 – се намират в Съединените щати. Други държави с относително голям брой изложени на риск системи Atlassian Confluence са Китай с около 3000 системи, Германия с 2000 и Япония с около 1400 изложени на риск инстанции.
CVE-2023-22518 е втората сериозна уязвимост, която Atlassian разкрива в своите широко използвани технологии за сътрудничество Confluence Data Center и Confluence Server през последния месец. На 4 октомври компанията разкри CVE-2023-22515, грешка с максимална тежест и нарушен контрол на достъпа. Atlassian откри грешката едва след като някои клиенти с публични инстанции на Confluence Data Center и Server съобщиха, че са срещнали проблеми с нея. По-късно Atlassian идентифицира нападателя като заплаха от национална държава.
Както и при новия бъг, CVE-2023-22515 също е свързан с ниска сложност на атаката. Опасенията за лекотата, с която може да бъде експлоатиран, предизвикаха съвместна консултация от Агенцията за киберсигурност и инфраструктура на САЩ, ФБР и Многодържавния център за обмен на информация и анализ (MS-ISAC). Консултацията предупреди организациите да се подготвят за широко разпространена дейност за експлоатиране и ги призова да поправят дефекта възможно най-скоро.
