Az Atlassian Confluence Data Center-t és Confluence Server-t érintő kritikus távoli kódfuttatási (RCE) sebezhetőséget észlelt, amely a 2023. december 5. előtt kiadott verziókat érinti.
A hiba CVE-2023-22527 néven követhető nyomon, kritikus besorolású (CVSS v3: 10.0), és egy sabloninjekciós sebezhetőség, amely lehetővé teszi a nem hitelesített támadók számára a távoli kódfuttatást az érintett Confluence végpontokon.
Az Atlassian azt ajánlja, hogy az ügyfelek telepítsék a legújabb verziót.
Az RCE hiba a Confluence Data Center és Server 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x és 8.5.0-tól 8.5.3-ig terjedő verzióit érinti.
Az Atlassian a hibát a decemberben kiadott Confluence Data Center és Server 8.5.4 (LTS), 8.6.0 (csak Data Center) és 8.7.1 (csak Data Center) verziókban javította. Tisztázatlan azonban, hogy a múlt hónapban csendben javították-e a hibát, vagy véletlenül a rendszeres szoftverfejlesztés során javították ki.
Ezek a verziók korábban jelentek meg, és már nem a legfrissebbek, így azok az adminok, akik áttértek egy újabb kiadásra, biztonságban vannak a CVE-2023-22527 kihasználásától.
Az Atlassian nem közölt enyhítést vagy megoldási lehetőséget a kiemelt biztonsági problémára, ezért a rendelkezésre álló frissítések alkalmazása a javasolt út.
Az Atlassian által a hibával kapcsolatban létrehozott GYIK oldal elmagyarázza, hogy a CVE-2023-22527 nem érinti a Confluence LTS v7.19.x-et, a gyártó által hosztolt Cloud Instances-kat vagy bármely más Atlassian terméket.
Megjegyzik azonban, hogy az internethez nem csatlakozó és az anonim hozzáférést nem engedélyező példányok még mindig kihasználhatók, még ha a kockázat csökken is.
Azok számára, akik nem tudják azonnal alkalmazni a rendelkezésre álló frissítéseket, ajánlott az érintett rendszereket offline állapotba helyezni, biztonsági másolatot készíteni, és figyelni a rosszindulatú tevékenységeket.
Az Atlassian Confluence hibáit gyakran használják ki a támadók, beleértve az állami támogatású fenyegető és a ransomware csoportokat is.
A CVE-2023-22527 esetében az Atlassian nem tud IoC-ket megosztani, amelyek segítenének a felderítésben. A több lehetséges belépési pont és a hiba lánctámadásokban való kihasználásának lehetősége túlságosan kiszélesíti a hatókörét ahhoz, hogy egyértelmű kihasználási jeleket lehessen meghatározni.
