Kriittinen haavoittuvuus Atlassian Confluence -tuotteissa - Hyväksikäyttöä havaittu

Atlassian Confluence Data Center ja Server tuotteiden paikallisesti asennetuissa versioissa on havaittu kriittinen virheelliseen valtuuttamiseen liittyvä haavoittuvuus. Atlassian suosittelee asentamaan päivitykset välittömästi tai rajoittamaan haavoittuvuuden hyväksikäyttömahdollisuuksia estämällä palvelun näkyvyys julkiseen verkkoon. Haavoittuvuutta on hyväksikäytetty.

Haavoittuvuutta hyväksikäyttämällä tunnistautumaton hyökkääjä voi nollata Confluencen ja luoda ympäristöön uuden pääkäyttäjän. Uudella käyttäjällä hyökkääjä voi suorittaa ylläpitotoimenpiteitä, jotka johtavat täydelliseen luottamuksellisuuden, eheyden ja saatavuuden menettämiseen. Atlassianin mukaan haavoittuvuutta hyväksikäytetään aktiivisesti esimerkiksi kiristyshaittaohjelmien levittämiseen.

Haavoittuvuus vaikuttaa kaikkiin päivittämättömiin paikallisesti asennettuihin ohjelmistoversioihin. Atlassianin isännöimät pilviympäristöissä olevat versiot eivät ole haavoittuvaisia. Haavoittuvuus koskee organisaatioita, joilla kyseinen tuote on käytössään.

Atlassian suosittelee päivittämään haavoittuvat ohjelmistoversiot välittömästi.

Kyberturvallisuuskeskuksella on tiedossa tapauksia, joissa haavoittuvuutta on hyväksikäytetty suomalaisissa organisaatiossa. Mikäli havaitset, että haavoittuvuutta on hyväksikäytetty tai yritetty hyväksikäyttää, ilmoita siitä meille lomakkeella https://www.kyberturvallisuuskeskus.fi/fi/ilmoita tai sähköpostitse cert@traficom.fi .

Haavoittuvuuden kohde

Kaikki Atlassian Confluence Data Center ja Server -tuotteiden versiot.

Mistä on kysymys?

Asenna korjaava ohjelmistopäivitys.

Korjatut versiot:

7.19.16 tai uudempi
8.3.4 tai uudempi
8.4.4 tai uudempi
8.5.3 tai uudempi
8.6.1 tai uudempi

Mikäli päivittäminen ei ole mahdollista, Atlassian suosittelee:

Varmuuskopioimaan instanssin valmistajan ohjeiden mukaisesti.
Mikäli mahdollista, estämään palvelun näkyvyyden julkiseen verkkoon.
Mikäli et voi rajoittaa palvelun näkyvyyttä julkiseen verkkoon, estä pääsy näihin Confuence:ssa.
/json/setup-restore.action
/json/setup-restore-local.action
/json/setup-restore-progress.action

Tarkemmat tiedot ja ohjeet Atlassianin haavoittuvuudesta: CVE-2023-22518 - Improper Authorization Vulnerability In Confluence Data Center and Server

Mitä voin tehdä?

Atlassian suosittelee tarkastamaan kaikki haavoittuvat Confluence-ympäristöt ja etsimään viitteitä mahdollisesta hyväksikäytöstä.

Viitteitä ympäristön hyväksikäytöstä voivat olla:

kirjautumisoikeuden menettäminen ympäristöön
pyyntöjä osoitteeseen /json/setup-restore* -verkkolokeissa
ympäristöön asennetut tuntemattomat lisäosat
salatut tiedostot tai korruptoitunut data
odottamattomat confluence-administrators -ryhmän jäsenet
odottamattomat uudet käyttäjätilit

Mikäli viitteitä hyväksikäytöstä havaitaan, tulisi ympäristö olettaa murretuksi ja seurata organisaation tietoturvaloukkausten reagoimiseen koskevaa suunnitelmaa

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.