Kriittinen haavoittuvuus Atlassian Confluence -tuotteissa - Hyväksikäyttöä havaittu
Haavoittuvuus22/2023CVSS 10CVE-2023-22518 (Ulkoinen linkki)
Atlassian Confluence Data Center ja Server tuotteiden paikallisesti asennetuissa versioissa on havaittu kriittinen virheelliseen valtuuttamiseen liittyvä haavoittuvuus. Atlassian suosittelee asentamaan päivitykset välittömästi tai rajoittamaan haavoittuvuuden hyväksikäyttömahdollisuuksia estämällä palvelun näkyvyys julkiseen verkkoon. Haavoittuvuutta on hyväksikäytetty.
Haavoittuvuutta hyväksikäyttämällä tunnistautumaton hyökkääjä voi nollata Confluencen ja luoda ympäristöön uuden pääkäyttäjän. Uudella käyttäjällä hyökkääjä voi suorittaa ylläpitotoimenpiteitä, jotka johtavat täydelliseen luottamuksellisuuden, eheyden ja saatavuuden menettämiseen. Atlassianin mukaan haavoittuvuutta hyväksikäytetään aktiivisesti esimerkiksi kiristyshaittaohjelmien levittämiseen.
Haavoittuvuus vaikuttaa kaikkiin päivittämättömiin paikallisesti asennettuihin ohjelmistoversioihin. Atlassianin isännöimät pilviympäristöissä olevat versiot eivät ole haavoittuvaisia. Haavoittuvuus koskee organisaatioita, joilla kyseinen tuote on käytössään.
Atlassian suosittelee päivittämään haavoittuvat ohjelmistoversiot välittömästi.
Kyberturvallisuuskeskuksella on tiedossa tapauksia, joissa haavoittuvuutta on hyväksikäytetty suomalaisissa organisaatiossa. Mikäli havaitset, että haavoittuvuutta on hyväksikäytetty tai yritetty hyväksikäyttää, ilmoita siitä meille lomakkeella https://www.kyberturvallisuuskeskus.fi/fi/ilmoita tai sähköpostitse cert@traficom.fi .
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Palvelunestohyökkäys
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Kaikki Atlassian Confluence Data Center ja Server -tuotteiden versiot.
Mistä on kysymys?
Asenna korjaava ohjelmistopäivitys.
Korjatut versiot:
- 7.19.16 tai uudempi
- 8.3.4 tai uudempi
- 8.4.4 tai uudempi
- 8.5.3 tai uudempi
- 8.6.1 tai uudempi
Mikäli päivittäminen ei ole mahdollista, Atlassian suosittelee:
- Varmuuskopioimaan instanssin valmistajan ohjeiden (Ulkoinen linkki) mukaisesti.
- Mikäli mahdollista, estämään palvelun näkyvyyden julkiseen verkkoon.
- Mikäli et voi rajoittaa palvelun näkyvyyttä julkiseen verkkoon, estä pääsy näihin Confuence:ssa.
/json/setup-restore.action
/json/setup-restore-local.action
/json/setup-restore-progress.action
Tarkemmat tiedot ja ohjeet Atlassianin haavoittuvuudesta: CVE-2023-22518 - Improper Authorization Vulnerability In Confluence Data Center and Server (Ulkoinen linkki)
Mitä voin tehdä?
Atlassian suosittelee tarkastamaan kaikki haavoittuvat Confluence-ympäristöt ja etsimään viitteitä mahdollisesta hyväksikäytöstä.
Viitteitä ympäristön hyväksikäytöstä voivat olla:
- kirjautumisoikeuden menettäminen ympäristöön
- pyyntöjä osoitteeseen /json/setup-restore* -verkkolokeissa
- ympäristöön asennetut tuntemattomat lisäosat
- salatut tiedostot tai korruptoitunut data
- odottamattomat confluence-administrators -ryhmän jäsenet
- odottamattomat uudet käyttäjätilit
Mikäli viitteitä hyväksikäytöstä havaitaan, tulisi ympäristö olettaa murretuksi ja seurata organisaation tietoturvaloukkausten reagoimiseen koskevaa suunnitelmaa
Lisätty tieto haavoittuvuuden hyväksikäytöstä.
Päivitetty haavoittuvuuden tiedot vastaamaan valmistajan päivittämää tiedotetta.