Η αυστραλιανή εταιρεία λογισμικού Atlassian κυκλοφόρησε επείγουσες ενημερώσεις ασφαλείας για να διορθώσει μια πολύ σοβαρή ευπάθεια zero-day στο λογισμικό Confluence Data Center and Server. Η ευπάθεια χρησιμοποιείται ήδη σε επιθέσεις.
Ο όρος “zero-day” αναφέρεται σε μια ευπάθεια λογισμικού που είναι γνωστή στους επιτιθέμενους, αλλά δεν υπάρχει ακόμη διόρθωση από τον κατασκευαστή του λογισμικού. Αυτό σημαίνει ότι οι επιτιθέμενοι μπορούν να εκμεταλλευτούν την ευπάθεια, πριν αυτή διορθωθεί. Τα zero-day bugs αποτελούν σημαντική απειλή για την ασφάλεια των δικτύων και των συστημάτων, καθώς μπορούν να χρησιμοποιηθούν για τη δημιουργία ανεξέλεγκτης πρόσβασης, την κλοπή δεδομένων ή την πρόκληση άλλων ζημιών.
Δείτε επίσης: Η Apple διορθώνει zero-day που επιτρέπει επιθέσεις σε iPhone / iPad
“Η Atlassian ενημερώθηκε για ένα πρόβλημα που αναφέρθηκε από μερικούς πελάτες, όπου εξωτερικοί επιτιθέμενοι ενδέχεται να εκμεταλλεύτηκαν μια προηγουμένως άγνωστη ευπάθεια σε δημόσια προσβάσιμα Confluence Data Center και Server instances για να δημιουργήσουν μη εξουσιοδοτημένους λογαριασμούς διαχειριστή Confluence και να έχουν πρόσβαση σε Confluence instances“, αναφέρει η εταιρεία.
Η εταιρεία εξηγεί ότι τα sites Atlassian Cloud δεν επηρεάζονται από αυτήν την ευπάθεια. “Εάν το Confluence site είναι προσβάσιμο μέσω ενός atlassian.net domain, φιλοξενείται από την Atlassian και δεν είναι ευάλωτο σε αυτό το ζήτημα“.
Η zero-day ευπάθεια παρακολουθείται ως CVE-2023-22515 και επιτρέπει την απόκτηση περισσότερων προνομίων. Επηρεάζει τα Confluence Data Center and Server 8.0.0 και μεταγενέστερες εκδόσεις και περιγράφεται ως ευπάθεια που μπορεί να χρησιμοποιηθεί απομακρυσμένα, χωρίς απαιτούμενη αλληλεπίδραση του χρήστη.
Δείτε επίσης: Qualcomm: Χάκερ εκμεταλλεύονται 3 zero-days στα προγράμματα GPU και DSP
Συνιστάται στους πελάτες που χρησιμοποιούν ευάλωτες εκδόσεις Confluence Data Center and Server να αναβαθμίσουν τις εγκαταστάσεις τους το συντομότερο δυνατόν σε μία από τις διορθωμένες εκδόσεις (δηλαδή, 8.3.3 ή μεταγενέστερες, 8.4.3 ή μεταγενέστερες, 8.5.2 ή μεταγενέστερες).
Η Atlassian παροτρύνει, επίσης, τους πελάτες να απενεργοποιήσουν τις ευάλωτες εγκαταστάσεις ή να τις απομονώσουν από την πρόσβαση στο διαδίκτυο, εάν η άμεση επιδιόρθωση δεν είναι δυνατή.
Οι διαχειριστές μπορούν να μειώσουν τις πιθανότητες εκμετάλλευσης της ευπάθειας, αποτρέποντας την πρόσβαση σε /setup/* endpoints σε Confluence instances.
Συνιστάται στους διαχειριστές να ελέγχουν για σημάδια παραβίασης
Η εταιρεία συνιστά τον έλεγχο όλων των Confluence instances για τον εντοπισμό πιθανής ύποπτης δραστηριότητας:
- νέα μέλη στο confluence-administrator group
- νέοι λογαριασμοί χρηστών
- αιτήματα για /setup/*.action σε network access logs
- παρουσία του /setup/setupadministrator.action σε exception message στο atlassian-confluence-security.log στο Confluence home directory
Δείτε επίσης: Ενημερώσεις ασφαλείας για Microsoft Edge, Teams και Skype λόγω zero-days
Με την κυκλοφορία μιας ενημέρωσης, οι επιτιθέμενοι μπορεί να αναζητήσουν τα στοιχεία που επιδιορθώθηκαν για να επιταχύνουν τη δημιουργία ενός exploit.
Η ενημέρωση της Confluence, που διορθώνει τη νέα κρίσιμη ευπάθεια, είναι ήδη διαθέσιμη για εγκατάσταση από τους χρήστες. Η Atlassian συνιστά σθεναρά την εφαρμογή της ενημέρωσης το συντομότερο δυνατόν.
Η άμεση εφαρμογή των ενημερώσεων για την ασφάλεια των διακομιστών Confluence είναι ιδιαίτερα σημαντική, ειδικά αν λάβουμε υπόψη προηγούμενες επιθέσεις που χρησιμοποίησαν τα ransomware AvosLocker και Cerber2021, Linux botnet malware καθώς και crypto miners.
Πηγή: www.bleepingcomputer.com