Eine Schwachstelle Majeure d’Atlassian Confluence Récemment entdeckt dans presque toutes les Versionen de l’util de Collaboration (Ouvre dans un nouvel onglet) veröffentlicht vor dem Ende des letzten Jahrhunderts, esta maintenant active useée por les acteurs de la bedrohung, bestätigte die Gesellschaft .

Die Schwachstelle ermöglicht es Angreifern, nicht authentifizierte Remote-Code-Ausführungsangriffe gegen gezielte Endpunkte durchzuführen (Wird in einem neuen Tab geöffnet). Einen Tag nach seiner Entdeckung veröffentlichte das Unternehmen Patches für die Versionen 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 und 7.18.1.

Da der Fehler aktiv ausgenutzt wird, hat das Unternehmen seine Nutzer und Kunden aufgefordert, das Tool (öffnet sich in einem neuen Tab) umgehend auf die neueste Version zu aktualisieren. Es wird als CVE-2022-26134 verfolgt, hat aber noch keine Schweregradbewertung. Atlassian listete es als „kritisch“ auf.

Beschränken Sie den Internetzugang

Es wurde zuerst von der Sicherheitsfirma Volexity entdeckt, die besagte, dass Angreifer eine Java Server Page-Webshell in ein öffentlich zugängliches Webverzeichnis auf einem Confluence-Server einfügen könnten.

Es wurde auch festgestellt, dass der Webanwendungsprozess von Confluence Bash-Shells startet, was laut Volexity „auffiel“, weil es einen Bash-Prozess hervorbrachte, der einen Python-Prozess hervorbrachte und eine Bash-Shell hervorbrachte. .

Confluence-Benutzer, die den Patch aus irgendeinem Grund nicht anwenden können, haben einige zusätzliche Minderungsoptionen, die sich um die Einschränkung des Internetzugangs für das Tool drehen. Während der Entwicklung des Patches riet das Unternehmen den Benutzern, den Internetzugang für Confluence-Server- und Rechenzentrumsinstanzen einzuschränken oder Confluence-Server- und Rechenzentrumsinstanzen ganz zu deaktivieren.

Atlassian sagte auch, dass Unternehmen eine Web Application Firewall (WAF)-Regel implementieren könnten, um alle URLs zu blockieren, die €{ enthalten, da dies „Ihr Risiko verringern kann“.

Obwohl das Unternehmen in seiner Mitteilung die „aktuelle aktive Ausbeutung“ betonte, gab es nicht an, wer es verwendet oder gegen wen.

Über: Die Registrierung (Öffnet in einem neuen Tab)

Teilen Sie es