Kriittinen haavoittuvuus Atlassian Confluence -tuotteissa mahdollistaa hyökkäykset ilman tunnistautumista | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus Atlassian Confluence -tuotteissa mahdollistaa hyökkäykset ilman tunnistautumista

3. kesäkuuta 2022 klo 10.57, päivitetty 6. kesäkuuta 2022 klo 15.24

Kriittinen haavoittuvuus Confluence Server ja Data Center -tuotteissa mahdollistaa komentojen suorittamisen etänä ilman tunnistautumista. Haavoittuvuutta on jo hyödynnetty maailmalla. Atlassian suosittelee asentamaan päivitykset ja rajoittamaan haavoittuvuuden hyväksikäyttömahdollisuuksia rajaamalla haavoittuvien tuotteiden näkyvyyttä julkiseen verkkoon.

Confluence Server ja Data Center -tuotteissa on havaittu kriittinen etäkomentojen suorittamisen mahdollistava haavoittuvuus. Haavoittuvuutta voidaan hyödyntää ilman tunnistautumista ja se koskee todennäköisimmin tuotteiden kaikkia versioita. Haavoittuvuuden korjaava päivitys on saatavilla.

Tietoturvatutkijoiden mukaan haavoittuvuutta on hyväksikäytetty jo maailmalla ja järjestelmiin on asennettu esimerkiksi etähallinnan mahdollistavia haittaohjelmia (backdoor, webshell).

Atlassianin mukaan haavoittuvuus ei koske Atlassian Cloud -palveluita.

Päivitys 6.6.2022: Haavoittuvuutta hyödyntävä esimerkkitoteutus (PoC) on julkaistu verkossa.

Haavoittuvuuden kohde

  • Confluence Server (kaikki versiot)
  • Confluence Data Center (kaikki versiot)

Mistä on kysymys?

  • Asenna korjaava päivitys.
  • Confluence Server ja Data Center -instanssien pääsyn rajoittaminen Internetistä.
  • Confluence Server ja Data Center -instanssien poistaminen käytöstä.

Jos et pysty toteuttamaan edellä mainittuja rajaustoimia, Atlassianin mukaan haavoittuvuuden hyödyntämisen riskiä voi pienentää WAF-säännön (Web Application Firewall) avulla, joka estää ${-merkit sisältävät URL-osoitteet.

Päivitys 6.6.2022: Atlassian on julkaissut haavoittuvuuden korjaavat päivitykset versioille 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 ja 7.18.1.

Atlassianin haavoittuvuustiedote (Ulkoinen linkki)
Volexityn raportti haavoittuvuuden hyväksikäytöstä (Ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

6. kesäkuuta 2022 klo 15.24 Lisätty tiedot saatavilla olevista päivityksistä ja tieto haavoittuvuuden hyödyntämistä varten tehdyn esimerkkitoteutuksen julkaisusta (PoC).