Súlyos sérülékenység (CVE-2023-22515) érinti az Atlassian Confluance Data Center és Server termékek egyes verzióit, ami teljes rendszer-kompromittálódáshoz vezethet.
A sebezhetőség távolról kihasználható, általa egy támadó adminisztrátori jogosultságú felhasználói fiókot hozhat létre a sérülékeny rendszeren.
A CISA, az FBI és az MS-ISAC közös riasztásukban arra figyelmeztetnek, hogy a sérülékenység könnyen kihasználható, és aktív támadások is ismertek. Habár a gyártó biztonsági közleményében megkerülő megoldást is elérhetővé tett, javasolt az október 4-étől elérhető biztonsági hibajavítások mielőbbi telepítése, valamint az elérhető IoC-k alapján a lehetséges kompromittálódás kivizsgálása, ugyanis egy már kompromittált rendszerhez a támadók a frissítés telepítése után is hozzáférhetnek.
A Microsoft fenyegetéselemző csoportja is posztolt a témában, eszerint egy kínai APT csoport is aktívan kihasználja a sérülékenységet.
Az eddig azonosított támadások során cURL és az Rclone CLI programok segítségével loptak adatokat, azonban erre a célra számtalan módszer lehetséges.
Kompromittálódásra utaló indikátorok a gyártói közlemény szerint
- gyanús új felhasználói fiókok megjelenése, különösen a
confluence-administratorscsoportban; - a hálózati logokban a konfiguráció módosítására
/setup/*.actionirányuló kérések; - a
/setup/setupadministrator.actionexception message megjelenése a Confluence home könyvtárban található biztonsági naplófájlbanatlassian-confluence-security.log.
Ismert támadások során alkalmazott IP-címek:
170.106.106[.]1643.130.1[.]222152.32.207[.]23199.19.110[.]1495.217.6[.]16
