Atlassian Confluence -tuotteissa kriittinen haavoittuvuus
Atlassian Confluence Data Center ja Server tuotteissa on havaittu kriittinen käyttöoikeuksien korottamisen mahdollistava haavoittuvuus. Haavoittuvuutta on Atlassianin tietojen mukaan havaittu jo hyväksikäytettävän rajatun asiakasjoukon piirissä. Atlassian suosittelee asentamaan päivitykset välittömästi tai rajoittamaan haavoittuvuuden hyväksikäyttömahdollisuuksia rajaamalla palvelun näkyvyyttä julkiseen verkkoon.
Havaittu haavoittuvuus CVE-2023-22515 voi mahdollistaa hyökkääjälle oikeudettoman pääkäyttäjätason oikeudet omaavien tunnusten luonnin haavoittuvaan kohteeseen. Pääkäyttäjätunnusta hyväksikäyttämällä mahdollistuu koko Confluence ympäristön haltuunotto. Haavoittuvuuden julkaisuhetkellä CVSSv3 arvoa ei ole vielä määritelty mutta Atlassianin vakavuusluokittelun perusteella se tulee asettumaan välille 9.0 -10.0.
Atlassian on ehdottanut haavoittuvuuden hyväksikäytön rajoituskeinona myös haavoittuvaan komponenttiin pääsyn estämisen. Haavoittuvuudesta ja sen hyväksikäytöstä on toistaiseksi vain hyvin rajallisesti tarkempia tietoja. Rajoituskeinoja tulisi käyttää vain väliaikaisesti, kunnes haavoittuvuuden korjaava ohjelmistopäivitys saadaan asennettua käyttöön.
Mikäli ympäristössä, joka on ollut haavoittuvalla ohjelmistoversiolla saavutettavissa julkisesta verkosta, havaitaan vähäisiäkin viitteitä normaalista poikkeavasta toiminnasta, tulee sille suorittaa perusteellinen tietomurtotutkinta. Sellaisia poikkeavuuksia voisivat esimerkiksi olla seuraavat havainnot:
- Ennalta odottamaton jäsenen lisääminen confluence-administrators -ryhmään
- Ennalta odottamaton uuden käyttäjätilin luominen järjestelmään
- Lokimerkintöjä liittyen pyyntöihin /setup/*.action URL-polkuun
- Merkkejä /setup/setupadministrator.action toiminnoista atlassian-confluence-security.log -lokitiedostossa
Päivitys 6.10.2023
Tietoturvayhtiö Rapid7 analyysin mukaan haavoittuvuutta olisi mahdollista hyväksikäyttää myös ilman pääkäyttäjätason tunnuksen luomista. Heidän havaintojensa mukaan tämä onnistuisi esimerkiksi /server-info.action URL-polun kautta. Tämä seikka kannattaa huomioida haavoittuvuuden hyväksikäytön havainnoinnissa sekä estotoimissa.
Päivitys 12.10.2023
Microsoftin tietoturvatutkijat ovat havainneet merkkejä haavoittuvuuden hyväksikäytöstä ensimmäisen kerran jo 14.9.2023. Microsoft on myös jakanut neljä (4) IP-osoitetta, joihin on nähty lähetettävän hyväksikäyttöön viittaavaa dataa. Haavoittuvat ohjelmistot tulee päivittää viipymättä. Atlassian on päivittänyt omaa tiedotettaan niin päivittämisestä kuin myös mahdollisen saastumisen tunnistamisesta.
Haavoittuvuuden kohde
Atlassian Confluence Data Center ja Server versiot:
8.0.0 - 8.0.4
8.1.0, 8.1.1, 8.1.3, 8.1.4
8.2.0 - 8.2.3
8.3.0 - 8.3.2
8.4.0 - 8.4.2
8.5.0 - 8.5.1
Mistä on kysymys?
Asenna korjaava ohjelmistopäivitys.
Lisäksi Atlassian on esittänyt tiedotteessaan haavoittuvuuden hyväksikäytön rajoittamiseksi /setup/* URL-polun pääsyn estämisen web-palvelun konfiguraatiomuutoksella tai haavoittuvaan ympäristöön julkisen pääsyn estämisen. Näitä rajoituskeinoja tulisi käyttää vain väliaikaisesti ja korjaava päivitys tulisi asentaa mahdollisimman nopeasti.
Mitä voin tehdä?
CVE-2023-22515 - Privilege Escalation Vulnerability in Confluence Data Center and Server
https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html
FAQ for CVE-2023-22515
https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html
CVE-2023-22515: Zero-Day Privilege Escalation in Confluence Server and Data Center
https://www.rapid7.com/blog/post/2023/10/04/etr-cve-2023-22515-zero-day-privilege-escalation-in-confluence-server-and-data-center/
Microsoft Blames Nation-State Threat Actor for Confluence Zero-Day Attacks
https://www.securityweek.com/microsoft-blames-nation-state-threat-actor-for-confluence-zero-day-attacks/