Критична грешка в Atlassian Confluence в процес на активно експлоатиране

Разкрита е критична уязвимост за повишаване на привилегиите в Atlassian Confluence Server и Confluence Data Center, за която има данни, че се използва в дивата природа като бъг от нулев ден.

Недостатъкът (CVE-2023-22515) засяга локалните екземпляри на платформите във версии 8.0.0 и по-нови.

„Atlassian беше уведомена за проблем, докладван от няколко клиенти, при който външни нападатели може да са използвали неизвестна досега уязвимост в публично достъпни инстанции Confluence Data Center и Server, за да създадат неоторизирани Confluence администраторски акаунти и да получат достъп до инстанции на Confluence“, се казва в консултацията на Atlassian относно CVE-2023-22515, публикувана късно на 4 октомври.

Atlassian не е предоставила оценка CVSSv3, но според вътрешните ѝ оценки на нивото на сериозност оценката би била в диапазона от 9 до 10.

Залогът е висок. Много организации използват Confluence за управление на проекти и сътрудничество между екипи, разпръснати на локални и отдалечени места. Често в средите на Confluence могат да се съхраняват чувствителни данни както за вътрешни проекти, така и за клиенти и партньори на компанията

Необичайна критична оценка: Възможност за отдалечено използване на ескалация на права?

Критичната оценка е сравнително рядко срещана за проблеми с повишаване на привилегиите, посочва изследователят от Rapid7 Кейтлин Кондън в предупреждение за бъга в Confluence.

В консултацията на Atlassian обаче се отбелязва още, че „случаите в публичния интернет са особено изложени на риск, тъй като тази уязвимост може да се използва анонимно“, което показва, че тя може да се използва от разстояние, обясни тя – рядка ситуация. Тя отбеляза, че критичната оценка „обикновено съответства повече на заобикаляне на удостоверяването или отдалечено верижно изпълнение на код, отколкото на проблем с повишаване на привилегиите сам по себе си“.

Въпреки това Кондън добави: „Възможно е уязвимостта да позволи на обикновен потребителски акаунт да се издигне до администраторски – по-специално Confluence позволява регистрирането на нови потребители без одобрение, но тази функция е изключена по подразбиране.“

Пач сега: Confluence е топ мишена за кибератаките
Atlassian е издала кръпка; фиксираните версии са: 8.3.3 или по-нова; 8.4.3 или по-нова; и 8.5.2 (издание за дългосрочна поддръжка) или по-нова.

Що се отнася до други възможности за защита, Atlassian не уточнява къде се намира грешката или други технически подробности, въпреки че отбелязва, че известните вектори на атака могат да бъдат намалени чрез блокиране на достъпа до крайните точки /setup/* на инстанциите на Confluence, което е добър показател за това къде се намира проблемът.

Администраторите трябва да ограничат външния мрежов достъп до уязвимите системи, докато те не бъдат обновени, а Atlassian препоръчва да се проверят всички засегнати инстанции на Confluence за изброените в консултацията индикатори за компрометиране (IoC).

Патчингът трябва да е на първо място; Atlassian е известна цел за кибератаките, както се вижда от настоящата експлоатация от нулев ден, но има и допълнителен прецедент. През юни 2022 г. Atlassian разкри друга критична уязвимост от нулев ден, засягаща Confluence Server и Data Center (CVE-2022-26134), като тази уязвимост е по-типична за отдалечено изпълнение на код. След разкриването бързо последваха скриптове за доказване на концепцията и масова експлоатация, достигайки пик от 100 000 опита за експлоатация дневно.

Източник: DARKReading