Η CISA, το FBI και το MS-ISAC προειδοποίησαν τους διαχειριστές δικτύου να ενημερώσουν αμέσως τους διακομιστές τους Atlassian Confluence για μια αδυναμία μέγιστης κατανομής που εκμεταλλεύεται ενεργά σε επιθέσεις.
Δείτε επίσης: Atlassian Confluence: Κατάχρηση από κρατικούς χάκερ
Η κρίσιμη ευπάθεια privilege escalation γνωστή ως CVE-2023-22515, επηρεάζει το Confluence Data Center και Server 8.0.0 και νεότερες εκδόσεις και μπορεί να εκμεταλλευτεί απομακρυσμένα σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση του χρήστη.
Στις 4 Οκτωβρίου, κατά την κυκλοφορία αναβαθμίσεων ασφαλείας, η Atlassian συνιστά στους πελάτες να αναβαθμίσουν το συντομότερο δυνατόν σε μία από τις επιδιορθωμένες εκδόσεις (δηλαδή, 8.3.3 ή μεταγενέστερη, 8.4.3 ή μεταγενέστερη, 8.5.2 ή μεταγενέστερη), καθώς ο ευπάθεια είχε ήδη εκμεταλλευθεί από κακόβουλους παράγοντες στον πραγματικό κόσμο ως zero-day.
Οι χρήστες που δεν μπόρεσαν να αναβαθμίσουν, ενθαρρύνθηκαν να απενεργοποιήσουν τις περιοχές που επηρεάστηκαν ή να τις απομονώσουν από την πρόσβαση στο διαδίκτυο. Οι διαχειριστές ενημερώθηκαν επίσης να ελέγξουν για ενδείξεις παραβίασης, συμπεριλαμβανομένων νέων ή ύποπτων λογαριασμών διαχειριστή.
Μία εβδομάδα μετά την προσθήκη του σφάλματος στη λίστα των εκμεταλλευμένων ευπαθειών από την CISA, η Microsoft αποκάλυψε ότι μια ομάδα απειλών υποστηριζόμενη από την Κίνα, γνωστή ως Storm-0062 (επίσης γνωστή ως DarkShadow ή Oro0lxy), εκμεταλλευόταν την αδυναμία ως zero-day από τις 14 Σεπτεμβρίου 2023 τουλάχιστον.
“Οι CISA, FBI και MS-ISAC ενθαρρύνουν έντονα τους διαχειριστές δικτύου να εφαρμόσουν αμέσως τις αναβαθμίσεις που παρέχονται από την Atlassian“, προειδοποίησαν οι τρεις οργανισμοί.
Δείτε ακόμα: Η Atlassian απολύει το 5% του προσωπικού της
Τα δεδομένα που συλλέχθηκαν από την εταιρεία κυβερνοασφάλειας Greynoise υποδεικνύουν ότι η εκμετάλλευση του CVE-2023-22515 φαίνεται πολύ περιορισμένη μέχρι στιγμής. Ωστόσο, ο τοπίο της εκμετάλλευσης μπορεί να αλλάξει σύντομα, με την κυκλοφορία εκμεταλλεύσεων προσανατολισμένων στο PoC που ανέπτυξαν ο Valentin Lobstein και ο τεχνικός ασφάλειας Owen Gong της Sophee, καθώς και πλήρεις τεχνικές λεπτομέρειες για την ευπάθεια που δημοσιεύθηκαν από τους ερευνητές της Rapid7 την προηγούμενη εβδομάδα.
“Λόγω της ευκολίας εκμετάλλευσης, η CISA, το FBI και το MS-ISAC προβλέπουν ευρεία εκμετάλλευση μη ενημερωμένων workspace Confluence σε κυβερνητικά και ιδιωτικά δίκτυα,” προειδοποιεί η κοινή ανακοίνωση.
Είναι απόλυτα απαραίτητο να ενημερώνονται άμεσα οι διακομιστές του Confluence, λαμβάνοντας υπόψη το ιστορικό προσέλκυσης κακόβουλων παραγόντων. Προηγούμενες επιθέσεις που αφορούσαν κακόβουλο λογισμικό botnet
σε Linux, crypto miners, καθώς και τις επιθέσεις από ransomware AvosLocker και Cerber2021 υπογραμμίζουν την επείγουσα φύση του προβλήματος.Το περασμένο έτος, h CISA επέβαλε στις ομοσπονδιακές υπηρεσίες να αντιμετωπίσουν μια ακόμα κρίσιμη ευπάθεια στο Confluence (CVE-2022-26138) που εκμεταλλεύτηκε ενεργά.
Δείτε επίσης: Atlassian: Η πρόσφατη διαρροή δεδομένων προέρχεται από εφαρμογή τρίτου μέρους
Προτεινόμενα βήματα και βέλτιστες πρακτικές
1. Ενημέρωση του λογισμικού Atlassian Confluence
Η εφαρμογή του patch, αρχίζει με την άμεση ενημέρωση του λογισμικού Atlassian Confluence στην πιο πρόσφατη έκδοση. Οι ενημερώσεις είναι απαραίτητες γιατί συχνά περιλαμβάνουν διορθώσεις ευπαθειών ασφαλείας.
2. Επιβεβαίωση των Ρυθμίσεων Ασφαλείας
Μετά την ενημέρωση του λογισμικού, πρέπει να επιβεβαιώσετε ότι οι ρυθμίσεις ασφαλείας στο Atlassian Confluence είναι σωστά ρυθμισμένες. Τα δικαιώματα πρόσβασης και τα επίπεδα πρόσβασης πρέπει να ελεγχθούν και να ρυθμιστούν κατάλληλα.
3. Πρακτική Διαχείρισης Συστήματος και Μέτρα Ασφαλείας
Εκτός από το patching και την επιβεβαίωση των ρυθμίσεων ασφαλείας, η διαχείριση του συστήματος απαιτεί και πρόληψη κατά του hacking. Η προφύλαξη περιλαμβάνει περιγραφή των υπηρεσιών, δημιουργία αναφορών ασφαλείας τακτικά και παρακολούθηση των ειδοποιήσεων ασφαλείας της Atlassian.
4. Προληπτική Διαχείριση Συμβάντων
Είναι ζωτικής σημασίας να διαχειρίζεστε προληπτικά οποιαδήποτε ασυνήθιστη δραστηριότητα ή ένδειξη παραβίασης στο σύστημα. Αυτό μπορεί να περιλαμβάνει την παρακολούθηση των καταγραφών συστήματος, τη δημιουργία αναφορών ευπαθειών και την αναθεώρηση των στρατηγικών ασφαλείας.
5. Επικοινωνία με το Τμήμα Υποστήριξης της Atlassian
Σε περίπτωση που αντιμετωπίζετε οποιαδήποτε αβεβαιότητα ή δυσκολία, δεν πρέπει να διστάσετε να επικοινωνήσετε με το τμήμα υποστήριξης της Atlassian. Το προσωπικό της υποστήριξης είναι έτοιμο να βοηθήσει και να καθοδηγήσει τους διαχειριστές στην εφαρμογή της ενημέρωσης.
Πηγή: bleepingcomputer