Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Kriittinen haavoittuvuus Atlassian Confluence -tuotteissa mahdollistaa hyökkäykset ilman tunnistautumista

Haavoittuvuus11/2022

Julkaistu
Päivitetty

Kriittinen haavoittuvuus Confluence Server ja Data Center -tuotteissa mahdollistaa komentojen suorittamisen etänä ilman tunnistautumista. Haavoittuvuutta on jo hyödynnetty maailmalla. Atlassian suosittelee asentamaan päivitykset ja rajoittamaan haavoittuvuuden hyväksikäyttömahdollisuuksia rajaamalla haavoittuvien tuotteiden näkyvyyttä julkiseen verkkoon.

Confluence Server ja Data Center -tuotteissa on havaittu kriittinen etäkomentojen suorittamisen mahdollistava haavoittuvuus. Haavoittuvuutta voidaan hyödyntää ilman tunnistautumista ja se koskee todennäköisimmin tuotteiden kaikkia versioita. Haavoittuvuuden korjaava päivitys on saatavilla.

Tietoturvatutkijoiden mukaan haavoittuvuutta on hyväksikäytetty jo maailmalla ja järjestelmiin on asennettu esimerkiksi etähallinnan mahdollistavia haittaohjelmia (backdoor, webshell).

Atlassianin mukaan haavoittuvuus ei koske Atlassian Cloud -palveluita.

Päivitys 6.6.2022: Haavoittuvuutta hyödyntävä esimerkkitoteutus (PoC) on julkaistu verkossa.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvuuden kohde

  • Confluence Server (kaikki versiot)
  • Confluence Data Center (kaikki versiot)

Mistä on kysymys?

  • Asenna korjaava päivitys.
  • Confluence Server ja Data Center -instanssien pääsyn rajoittaminen Internetistä.
  • Confluence Server ja Data Center -instanssien poistaminen käytöstä.

Jos et pysty toteuttamaan edellä mainittuja rajaustoimia, Atlassianin mukaan haavoittuvuuden hyödyntämisen riskiä voi pienentää WAF-säännön (Web Application Firewall) avulla, joka estää ${-merkit sisältävät URL-osoitteet.

Päivitys 6.6.2022: Atlassian on julkaissut haavoittuvuuden korjaavat päivitykset versioille 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 ja 7.18.1.

Atlassianin haavoittuvuustiedote (Ulkoinen linkki) (Ulkoinen linkki)
Volexityn raportti haavoittuvuuden hyväksikäytöstä (Ulkoinen linkki) (Ulkoinen linkki)

Lisätty tiedot saatavilla olevista päivityksistä ja tieto haavoittuvuuden hyödyntämistä varten tehdyn esimerkkitoteutuksen julkaisusta (PoC).