Die australische Softwarefirma Atlassian hat dringende Sicherheitsupdates veröffentlicht, um eine hochkritische Zero-Day-Schwachstelle in ihrer Confluence Data Center und Server Software zu beheben, die in Angriffen ausgenutzt wurde.
Atlassian informierte, dass externe Angreifer eine zuvor unbekannte Schwachstelle in öffentlich zugänglichen Confluence Data Center und Server-Instanzen ausgenutzt haben könnten, um unbefugte Confluence-Administrator-Konten zu erstellen und Zugriff auf Confluence-Instanzen zu erhalten. Atlassian Cloud-Websites sind von diesem Problem jedoch nicht betroffen.
Die Schwachstelle, bekannt als CVE-2023-22515, betrifft Confluence Data Center und Server Version 8.0.0 und später. Sie lässt sich aus der Ferne in Angriffen geringer Komplexität ausnutzen, ohne dass eine Benutzerinteraktion erforderlich ist. Kunden mit anfälligen Versionen werden dringend gebeten, so schnell wie möglich auf eine der korrigierten Versionen (z.B. 8.3.3 oder später) zu aktualisieren.
Wenn eine sofortige Aktualisierung nicht möglich ist, empfiehlt Atlassian den Kunden, betroffene Instanzen zu isolieren oder den Internetzugriff zu unterbrechen. Administratoren können bekannte Angriffsvektoren durch Verhindern des Zugriffs auf die /setup/*-Endpunkte in Confluence-Instanzen eliminieren.
Das Unternehmen rät zudem, alle Confluence-Instanzen auf Anzeichen eines Sicherheitsverstoßes zu überprüfen. Besondere Aufmerksamkeit sollte u.a. unerwarteten Mitgliedern der confluence-administrator Gruppe und neu erstellten Benutzerkonten gewidmet werden.
Angesichts der Veröffentlichung des Patches ist es sehr wahrscheinlich, dass Bedrohungsakteure die Sicherheitspatches analysieren, um die behobene Schwachstelle zu identifizieren. Dies könnte die Erstellung eines nutzbaren Exploits beschleunigen.
Die Sicherung von Confluence-Servern ist besonders wichtig, da sie in der Vergangenheit für bösartige Akteure attraktiv waren, wobei frühere Vorfälle die Dringlichkeit des Problems unterstreichen.