Atlassian’ın Confluence Veri Merkezi ve Sunucu teknolojisinde açıkladığı kritik bir güvenlik açığına yönelik kavram kanıtı (PoC) yararlanma kodunun kamuya açık hale gelmesi, işbirliği platformunu kullanan kuruluşların şirketin düzeltmesini derhal uygulaması ihtiyacını artırdı.
İnterneti kötü amaçlı faaliyetlere karşı izleyen ShadowServer, 3 Kasım’da son 24 saat içinde en az 36 benzersiz IP adresinden Atlassian güvenlik açığından yararlanma girişimlerini gözlemlediğini bildirdi.
Atlassian, maksimum ciddiyete sahip hatayı (CVSS ölçeğinde 10 üzerinden 9,1) 31 Ekim’de CISO’sundan, güvenlik açığının kötüye kullanılması halinde “önemli veri kaybı” riski oluşturacağı konusunda bir uyarıyla açıkladı.
Güvenlik Açığı Bilgileri Herkese Açıktır
Tanımlayıcının atandığı hata CVE-2023-22518, Atlassian Veri Merkezi ve Atlassian Sunucusunun tüm sürümlerini kullanan müşterileri etkiliyor ancak bu teknolojilerin şirketin bulutta barındırılan sürümlerini kullananları etkilemez. Atlassian’ın hataya ilişkin açıklaması, bunun düşük saldırı karmaşıklığı içeren, kullanıcı etkileşimi olmayan ve bir saldırganın çok az özel ayrıcalıkla veya hiç özel ayrıcalık olmadan yararlanabileceği bir sorun olduğunu tanımladı.
Güvenlik açığı, temel olarak bir saldırganın bir uygulamadaki ayrıcalıklı işlevlere ve verilere erişmesine olanak tanıyan bir zayıflık olan uygunsuz yetkilendirmeyle ilgilidir. Bu durumda, güvenlik açığından yararlanan bir saldırgan, Confluence örneğindeki verileri silebilir veya bu bulut sunucusuna erişimi engelleyebilir. Ancak güvenlik istihbarat firması Field Effect tarafından yapılan bir analize göre, buradan veri sızdıramayacaklar.
Atlassian, 2 Kasım’da 31 Ekim’deki güvenlik açığı uyarısını, CVE-2023-22518’in teknik ayrıntılarının kamuya açıklanacağına ilişkin bir uyarıyla güncelledi. Atlassian, bilgilerin saldırganların bu güvenlik açığından yararlanma riskini artırdığını söyledi. Şirket, “Müşterilerin bulut sunucularını korumak için derhal harekete geçmesi gerekse de aktif bir istismara ilişkin hâlâ bir rapor yok” dedi. Tavsiye, Atlassian’ın bu hafta başında hatayı ilk kez açıkladığında yaptığı tavsiyeyi tekrarladı. Şirket, hemen yama yapamayan kuruluşların Confluence örneklerini yama yapana kadar İnternetten kaldırmasını önerdi.
Çok Sayıda Açıkta Kalan Sistem
ShadowServer, artan istismar aktivitesinin, dosya yükleme ve İnternet’ten erişilebilen savunmasız Confluence örneklerini kurma veya geri yükleme girişimlerini içerdiğini belirtti.
“Etrafta görüyoruz 24K açıkta ShadowServer, Atlassian Confluence örneklerinin (mutlaka savunmasız olması gerekmez) dedi. Açığa çıkan sistemlerin çoğu (yaklaşık 5.500) Amerika Birleşik Devletleri’nde bulunuyor. Göreceli olarak yüksek sayıda açıkta kalan Atlassian Confluence sistemlerine sahip diğer ülkeler arasında yaklaşık 3.000 sisteme sahip Çin, Almanya ve Almanya yer alıyor. 2.000 ve Japonya’da yaklaşık 1.400 maruz kalan örnek var.
CVE-2023-22518, Atlassian’ın geçtiğimiz ay yaygın olarak kullanılan Confluence Veri Merkezi ve Confluence Server işbirliği teknolojilerinde ortaya çıkardığı ikinci büyük güvenlik açığıdır. Şirket 4 Ekim’de şunları açıkladı: CVE-2023-22515, maksimum önem derecesine sahip, bozuk erişim kontrolü hatası. Atlassian, hatayı ancak halka açık Confluence Veri Merkezi ve Sunucu örneklerine sahip bazı müşterilerin sorunla karşılaştıklarını bildirdikten sonra fark etti. Atlassian daha sonra saldırganın bir ulus devlet aktörü olduğunu belirtti.
Yeni hatada olduğu gibi CVE-2023-22515 de düşük saldırı karmaşıklığı içeriyordu. Kolayca istismar edilebileceğine dair endişeler, ABD Siber Güvenlik ve Altyapı Ajansı, FBI ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi’nin (MS-ISAC) ortak tavsiyesine yol açtı. Danışman, kuruluşları yaygın istismar faaliyetlerine hazırlıklı olmaları konusunda uyardı ve onları kusuru mümkün olan en kısa sürede düzeltmeye çağırdı.