İşbirliği aracının neredeyse tüm sürümlerinde yakın zamanda keşfedilen büyük bir Atlassian Confluence güvenlik açığı (yeni sekmede açılır) Şirket, son on yılda yayınlanan, tehdit aktörleri tarafından aktif olarak istismar edildiğini doğruladı.
Güvenlik açığı, tehdit aktörlerinin hedef uç noktalara kimliği doğrulanmamış uzaktan kod yürütme saldırıları gerçekleştirmesine olanak tanır (yeni sekmede açılır). Keşfedilmesinden bir gün sonra şirket, 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 ve 7.18.1 sürümleri için yamalar yayınladı.
Kusurun aktif olarak kullanıldığı göz önüne alındığında, şirket, kullanıcılarını ve müşterilerini aracı güncellemeye çağırdı. (yeni sekmede açılır) hemen en yeni sürüme geçin. CVE-2022-26134 olarak izleniyor, ancak henüz bir önem puanı yok. Atlassian bunu “kritik” olarak değerlendirdi.
İnternet erişimini sınırlama
İlk olarak güvenlik firması Volexity tarafından keşfedildi ve söz konusu saldırganlar bir Confluence sunucusunda herkesin erişebileceği bir web dizinine bir Java Sunucu Sayfası web kabuğu ekleyebildi.
Volexity, Confluence’ın web uygulama sürecinin aynı zamanda bash kabuklarını başlattığını da tespit etti.
Herhangi bir nedenle yamayı uygulayamayan Confluence kullanıcılarının emrinde, araç için internet erişimini sınırlama etrafında dönen birkaç ek azaltma seçeneği vardır. Yama geliştirilirken şirket, kullanıcılara Confluence Sunucusu ve Veri Merkezi örneklerinin internete erişimini Kısıtlamalarını veya Confluence Sunucusu ve Veri Merkezi örneklerini tamamen devre dışı bırakmalarını tavsiye etti.
Atlassian ayrıca şirketlerin ${ içeren tüm URL’leri engellemek için bir Web Uygulaması Güvenlik Duvarı (WAF) kuralı uygulayabileceğini, çünkü bunun “riskinizi azaltabileceğini” söyledi.
Şirket, tavsiyesinde “mevcut aktif istismar”ı vurgularken, bunu kimin veya kime karşı kullandığını detaylandırmadı.
Aracılığıyla: Kayıt (yeni sekmede açılır)