Atlassian waarschuwt voor zerodaylek in Confluence Server en Datacenter

[Captain Kirk]

Softwarebedrijf Atlassian waarschuwt organisaties voor een actief aangevallen zerodaylek in Confluence Server en Confluence Datacenter dat het mogelijk maakt om servers op afstand over te nemen en waarvoor nog geen beveiligingsupdates beschikbaar zijn. Hoelang er al misbruik van de kritieke kwetsbaarheid wordt gemaakt en tegen wie de aanvallen zijn gericht laat Atlassian niet weten.

Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. De software voor de laatste twee opties bevat een kritiek beveiligingslek aangeduid als CVE-2022-26134. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand code uitvoeren. Aangezien een patch nog niet beschikbaar is geeft Atlassian geen verdere details over het beveiligingslek.

Als tijdelijke oplossing adviseert Atlassian om toegang tot Confluence Server- en Data Center-installaties vanaf het internet te beperken of Confluence Server- en Data Center-installaties uit te schakelen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security raadt organisaties aan om al het internetverkeer naar beide producten te blokkeren totdat er een update beschikbaar is.

Securitybedrijf Volexity ontdekte de kwetsbaarheid nadat twee webservers van een klant waren gecompromitteerd. Via het beveiligingslek waren webshells op de servers geïnstalleerd waarmee aanvallers toegang tot de machines kunnen houden. Verder blijkt dat de aanvallers de gebruikerstabel uit de Confluence-database dumpten, webtoegang tot logbestanden aanpasten en aanvullende webshells installeerden. Volexity vermoedt dat de aanvallers vanuit China opereren.

 

bron: https://www.security.nl