Atlassian Confluence-tuotteen haavoittuvuutta hyväksikäytetään aktiivisesti | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Atlassian Confluence-tuotteen haavoittuvuutta hyväksikäytetään aktiivisesti

2. syyskuuta 2021 klo 13.32

Atlassian julkaisi Confluence Server ja Data Center -tuotteistaan löydettyyn haavoittuvuuteen korjauksen 25. päivä elokuuta. Haavoittuvuuden aktiivista hyväksikäyttöä on havaittu kuluvan viikon aikana maailmalla ja olemme saaneet nyt myös ilmoituksia onnistuneesta hyväksikäytöstä tietomurroissa suomalaisissa organisaatioissa.

Atlassian Confluence Server ja Data Center -tuotteista löydettyä Webwork OGNL injection (CVE-2021-26084) -haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa etänä omaa ohjelmakoodiaan palvelimella ilman tunnuksia. Haavoittuvuuden hyväksikäytöstä on julkaistu yksityiskohtaisia selvityksiä sekä haavoittuvuuden havainnollistavia esimerkkikoodeja.

Haavoittuvuuden laajamittaista kartoitusta on havaittu suoritettavan nyt kuluvan viikon aikana ja sitä on seurannut myös laaja hyväksikäytön aalto joka koskettaa myös suomalaisia organisaatioita.

Haavoittuva ohjelmisto tulee päivittää ensi tilassa, jos sitä ei vielä ole tehty sekä suorittaa perusteellinen tietomurtotutkinta jo onnistuneen murron varalta.

Haavoittuvuuden kohde

Confluence Server ja Data Center:

  • Kaikki 4.x.x versiot
  • Kaikki 5.x.x versiot
  • Kaikki 6.0.x versiot
  • Kaikki 6.1.x versiot
  • Kaikki 6.2.x versiot
  • Kaikki 6.3.x versiot
  • Kaikki 6.4.x versiot
  • Kaikki 6.5.x versiot
  • Kaikki 6.6.x versiot 
  • Kaikki 6.7.x versiot
  • Kaikki 6.8.x versiot
  • Kaikki 6.9.x versiot
  • Kaikki 6.10.x versiot
  • Kaikki 6.11.x versiot
  • Kaikki 6.12.x versiot 
  • Kaikki 6.13.x versiot ennen 6.13.23
  • Kaikki 6.14.x versiot 
  • Kaikki 6.15.x versiot 
  • Kaikki 7.0.x versiot
  • Kaikki 7.1.x versiot
  • Kaikki 7.2.x versiot
  • Kaikki 7.3.x versiot
  • Kaikki 7.4.x versiot ennen 7.4.11
  • Kaikki 7.5.x versiot
  • Kaikki 7.6.x versiot 
  • Kaikki 7.7.x versiot
  • Kaikki 7.8.x versiot
  • Kaikki 7.9.x versiot
  • Kaikki 7.10.x versiot
  • Kaikki 7.11.x versiot ennen 7.11.6
  • Kaikki 7.12.x versiot ennen 7.12.5

Mistä on kysymys?

Valmistaja on julkaissut korjaavan ohjelmistopäivityksen, joka tulee asentaa ensi tilassa.

Mitä voin tehdä?

Confluence Security Advisory - 2021-08-25:
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

MITRE: CVE-2021-26084:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26084

CVE-2021-26084 Remote Code Execution on Confluence Servers:
https://github.com/httpvoid/writeups/blob/main/Confluence-RCE.md

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.