Atlassian Confluence -ohjelmiston haavoittuvuutta hyväksikäytetään tietomurroissa

Tietoturva Nyt!

Kyberturvallisuuskeskus on vastaanottanut kuluvan viikon aikana useita ilmoituksia Atlassian Confluence -yhteistoimintaympäristön haavoittuvuuden hyväksikäytöstä tietomurtoihin. Haavoittuvuuden avulla hyökkääjällä on mahdollisuus suorittaa verkon yli omaa ohjelmakoodiaan kohdejärjestelmässä (Remote Code Execution).

Aktiivinen hyväksikäyttö alkoi tällä viikolla

Confluence -ympäristöjä on Suomessakin varsin laajalti käytössä ja useat niistä ovat edelleen haavoittuvia. Tällä hetkellä aktiivisesti hyväksikäytetty haavoittuvuus johtuu ohjelmointivirheestä "Widget Connector macro" -komponentissa Atlassian Confluence Server ja Data Center -tuotteissa.

Haavoittuvuus (CVE-2019-3396) julkistettiin jo maaliskuussa 20.3.2019 ja siihen on ollut päivitys saatavilla siitä asti valmistajan sivuilta. Kuluvalla viikolla 10.4.2019 tietoturvatutkijaryhmä julkaisi syvällisemmän analyysin haavoittuvuudesta sekä siihen liittyvän julkisen hyväksikäyttömenetelmän (PoC). Heti samana päivänä alkoivat myös rikolliset hyödyntää haavoittuvuutta ja sen seurauksena tietomurtojen kohteita on useita nyt myös Suomessa.

Haavoittuvia ovat kaikki Confluence Server ja Confluence Data Center - ohjelmiston julkaisut lukuun ottamatta:

  • versio 6.6.12 ja sitä uudemmat 6.6.x versiot
  • versio 6.12.3 ja sitä uudemmat 6.12.x versiot
  • versio 6.13.3 ja sitä uudemmat 6.13.x versiot
  • versio 6.14.2 ja uudemmat versiot

Päivitä heti ja tarkista ympäristösi tietomurron varalta

Varmista että Confluence Server ja Data Center ympäristösi käyttävät varmasti turvallisia ohjelmistoversioita ja mikäli näin ei ole, päivitä ne heti sekä selvitä oletko jo joutunut tietomurron kohteeksi.

Haavoittuvat palvelimet ovat varsin helppo löytää Internetistä ja rikolliset ovat saattaneet murtautua palvelimillesi, mikäli niillä on ollut käytössä haavoittuvia versioita Confluence tuotteesta erityisesti hyväksikäyttömenetelmän julkaisun jälkeen.