Tekrar yama yapma zamanı geldi: Atlassian yazılımındaki dört kritik güvenlik açığı, uzaktan kod yürütmeye (RCE) ve ardından kurumsal ortamlarda yanal harekete kapıyı açıyor. Bunlar, yazılım üreticisinin işbirliğinde ve siber saldırganların favori hedefi olma eğiliminde olan DevOps platformlarında son zamanlarda ortaya çıkan en son hatalardır.
Atlassian’ın Salı günü düzelttiği güvenlik açıkları arasında şunlar yer alıyor:
-
CVE-2022-1471 (CVSS güvenlik açığı ciddiyet puanı 10 üzerinden 9,8): YılanYAML Birden fazla Atlassian yazılım platformunu etkileyen kütüphane.
-
CVE-2023-22522 (CVSS 9): Confluence Server ve Data Center’ı etkileyen, kimliği doğrulanmış şablon ekleme güvenlik açığı. Atlassian’a göre, sisteme giriş yapan biri, anonim olarak bile olsa, Confluence sayfasına güvenli olmayan kullanıcı girdisi enjekte edebilir ve RCE elde edebilir.
-
CVE-2023-22523 (CVSS 9.8): Jira Hizmet Yönetimi Bulutu, Sunucusu ve Veri Merkezi için Assets Discovery ağ tarama aracında ayrıcalıklı RCE. Atlassian’ın tavsiyesine göre, “Güvenlik açığı, Assets Discovery uygulaması (eski adıyla Insight Discovery) ile Assets Discovery aracısı arasında mevcut.”
-
CVE-2023-22524 (CVSS 9.6): Confluence Data Center ve Server’da dosya düzenleme için kullanılan, macOS için Atlassian Companion uygulamasındaki RCE. Uyarı metninde “Bir saldırgan, Atlassian Companion’ın engellenenler listesini atlamak için WebSockets’i kullanabilir ve kodun yürütülmesine izin vermek için MacOS Gatekeeper’ı kullanabilir” denildi.
Atlassian Böcekleri Siber Saldırganlar için Kedi Ninesi
En son uyarılar, Atlassian’ın hem sıfır gün hem de yama sonrası istismarla bağlantılı bir dizi hata açıklamasının hemen ardından geldi.
Atlassian yazılımı, başta bulut ve hibrit sunucu ortamlarında işbirliği için kullanılan popüler bir Web tabanlı kurumsal wiki olan Confluence olmak üzere, tehdit aktörleri için popüler bir hedeftir. Çeşitli farklı veritabanlarına tek tıklamayla bağlantı kurulmasına olanak tanır ve saldırganlar için benzersiz bir fayda sağlar. LinkedIn, NASA ve New York Times da dahil olmak üzere 60.000’den fazla müşteri Confluence’ı kullanıyor.
Geçmiş bir başlangıç ise, yöneticilerin en son hataları hemen düzeltmesi gerekir. Örneğin ekim ayında yazılım şirketi, Confluence Veri Merkezi ve Sunucusu’ndaki (CVE-2023-22515) maksimum önem derecesine sahip bir RCE hatası (CVSS 10) için güvenlik düzeltmeleri yayınladı; bu hata, yama yapılmadan önce bir kişi tarafından istismar edildi. Çin sponsorluğundaki gelişmiş kalıcı tehdit (APT), Storm-0062 olarak takip ediliyor. Açıklamanın ardından bir dizi kavram kanıtı istismarı da hızla ortaya çıktı ve kitlesel sömürü girişimlerinin önünü açtı.
Kısa bir süre sonra, Kasım ayında, Confluence Veri Merkezi ve Sunucusunda, başlangıçta 9,1 CVSS puanıyla listelenen ve sıfır gün olarak istismar edilen başka bir RCE hatası ortaya çıktı. Ancak yamalar yayınlandıktan sonra çok sayıda aktif fidye yazılımı ve diğer siber saldırılar gerçekleşti Atlassian’ın şiddet puanını 10’a çıkarması istendi.
Aynı ay Atlassian, Bambu’nun sürekli entegrasyon (CI) ve sürekli teslimat (CD) Confluence Veri Merkezi ve Sunucunun yanı sıra yazılım geliştirme sunucusu da bir başka maksimum önem derecesine sahip soruna karşı savunmasızdı – bu kez Apache Yazılım Vakfı’nın (ASF) ActiveMQ mesaj komisyoncusu (CVE-2023-46604, CVSS 10). Silah haline getirilen böcek “n-gün” hatası, ayrıca uzaktaki bir saldırganın etkilenen sistemlerde rastgele komutlar yürütmesine olanak tanıyan PoC yararlanma koduyla hızlı bir şekilde donatıldı. Atlassian her iki platform için de düzeltmeler yayınladı.