Kriittinen haavoittuvuus Atlassian Confluence -tuotteissa mahdollistaa hyökkäykset ilman tunnistautumista

Haavoittuvuus11/2022

Kriittinen haavoittuvuus Confluence Server ja Data Center -tuotteissa mahdollistaa komentojen suorittamisen etänä ilman tunnistautumista. Haavoittuvuutta on jo hyödynnetty maailmalla. Atlassian suosittelee asentamaan päivitykset ja rajoittamaan haavoittuvuuden hyväksikäyttömahdollisuuksia rajaamalla haavoittuvien tuotteiden näkyvyyttä julkiseen verkkoon.

Confluence Server ja Data Center -tuotteissa on havaittu kriittinen etäkomentojen suorittamisen mahdollistava haavoittuvuus. Haavoittuvuutta voidaan hyödyntää ilman tunnistautumista ja se koskee todennäköisimmin tuotteiden kaikkia versioita. Haavoittuvuuden korjaava päivitys on saatavilla.

Tietoturvatutkijoiden mukaan haavoittuvuutta on hyväksikäytetty jo maailmalla ja järjestelmiin on asennettu esimerkiksi etähallinnan mahdollistavia haittaohjelmia (backdoor, webshell).

Atlassianin mukaan haavoittuvuus ei koske Atlassian Cloud -palveluita.

Päivitys 6.6.2022: Haavoittuvuutta hyödyntävä esimerkkitoteutus (PoC) on julkaistu verkossa.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

  • Confluence Server (kaikki versiot)
  • Confluence Data Center (kaikki versiot)

Ratkaisu- ja rajoitusmahdollisuudet

  • Asenna korjaava päivitys.
  • Confluence Server ja Data Center -instanssien pääsyn rajoittaminen Internetistä.
  • Confluence Server ja Data Center -instanssien poistaminen käytöstä.

Jos et pysty toteuttamaan edellä mainittuja rajaustoimia, Atlassianin mukaan haavoittuvuuden hyödyntämisen riskiä voi pienentää WAF-säännön (Web Application Firewall) avulla, joka estää ${-merkit sisältävät URL-osoitteet.

Päivitys 6.6.2022: Atlassian on julkaissut haavoittuvuuden korjaavat päivitykset versioille 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 ja 7.18.1.

Lisätty tiedot saatavilla olevista päivityksistä ja tieto haavoittuvuuden hyödyntämistä varten tehdyn esimerkkitoteutuksen julkaisusta (PoC).