Yazılım şirketi Atlassian, Confluence kullanıcılarına ya aracın internet erişimini kısıtlamalarını ya da vahşi ortamda istismar edilen yüksek önemde bir kusur bulduktan sonra tamamen kesmelerini söyledi.
işbirliği aracı (yeni sekmede açılır) birkaç yıldır tehdit aktörlerinin hedef uç noktalara karşı kimliği doğrulanmamış uzaktan kod yürütme saldırıları düzenlemesine izin veren bir hata taşıyor (yeni sekmede açılır)şirket onayladı.
tarafından bildirildiği gibi KayıtAtlassian ilk olarak 2 Haziran’da kusuru bulduğunu bildirdi. Yama hala üzerinde çalıştığı için ve hatanın aktif olarak kullanılması nedeniyle firma, müşterileri alternatif önlem almaya çağırdı.
On yıllık risk
İlk başta şirket, Confluence Server’ın yalnızca en son 7.18 sürümünün savunmasız olduğuna inanıyordu, çünkü bu sürümün saldırıya uğradığına dair kanıtlar vardı. Ancak, daha fazla araştırma, tüm sürümlerin (1.3.5’ten itibaren) savunmasız olduğunu buldu. Sürüm 1.3.5, neredeyse on yıl önce 2013’te piyasaya sürüldü.
Yama (yeni sekmede açılır) gün sonunda (03 Haziran) piyasaya sürüleceğini vaat eden şirket ile hala geliştirme aşamasındadır. Bu kesinlikle iyi bir haber olsa da, Cuma olduğu için tüm şirketler düzeltmeyi zamanında yapamayabilir.
Hafta sonu boyunca huzur içinde uyumak isteyenler, aralarından seçim yapabilecekleri birkaç seçeneğe sahiptir: Confluence Sunucusu ve Veri Merkezi örneklerinin internete erişimini kısıtlayın veya Confluence Sunucusu ve Veri Merkezi örneklerini tamamen devre dışı bırakın. Atlassian ayrıca şirketlerin ${ içeren tüm URL’leri engellemek için bir Web Uygulaması Güvenlik Duvarı (WAF) kuralı uygulayabileceğini, çünkü bunun “riskinizi azaltabileceğini” söyledi.
CVE-2022-26134 olarak izlenen kusur, ilk olarak güvenlik firması Volexity tarafından keşfedildi. Firma, saldırganların bir Confluence sunucusunda herkesin erişebileceği bir web dizinine bir Jave Sunucu Sayfası web kabuğu ekleyebileceğini söylüyor.
Volexity, “Dosya, China Chopper web kabuğunun JSP varyantının iyi bilinen bir kopyasıydı” diye yazdı. “Ancak, web günlüklerinin bir incelemesi, dosyaya neredeyse hiç erişilmediğini gösterdi. Web kabuğu, ikincil erişim aracı olarak yazılmış gibi görünüyor.”
Volexity, Confluence’ın web uygulama sürecinin aynı zamanda bash kabuklarını başlattığını da tespit etti.
“Volexity, saldırganın tek bir açıktan yararlanma girişimi başlattığına inanıyor… bu da belleğe kötü amaçlı bir sınıf dosyası yükledi. Bu, saldırganın sonraki istekler aracılığıyla etkileşime geçebileceği bir web kabuğuna etkili bir şekilde sahip olmasına izin verdi. Böyle bir saldırının yararı, saldırganın sunucuyu sürekli olarak yeniden kullanmalı ve diske bir arka kapı dosyası yazmadan komutları yürütmeli.”
Aracılığıyla Kayıt (yeni sekmede açılır)