[English]Sicherheitsforscher von Volexity sind am Wochenende auf eine 0-day Schwachstelle (CVE-2022-26134) in Atlassian Confluence Software gestoßen. Diese Schwachstelle wird aktiv ausgenutzt – erst dadurch ist der Sachverhalt den Sicherheitsforschern aufgefallen. Aktuell gilt der dringende Rat an Administratoren, die für die Wartung von Atlassian Confluence Software (Server, Data Center) zuständig sind, sicherzustellen, dass dieses Produkt nicht per Internet erreichbar ist – oder im Zweifelsfall ganz abzuschalten. Ergänzung: Die Schwachstelle ist gefixt.
Anzeige
Ich bin die Nacht über nachfolgenden Tweet auf den Sachverhalt aufmerksam geworden, der von Volexity im Blog-Beitrag Zero-Day Exploitation of Atlassian Confluence vom 2. Juni 2022 öffentlich gemacht wurde.
Entdeckung nach Angriff
Die Sicherheitsforscher von Volexity waren am US Memorial-Day-Wochenende gezwungen, eine Incident-Response-Untersuchung bei zwei mit dem Internet verbundene Webserver eines seiner Kunden durchzuführen. Auf beiden Webservern lief die Atlassian Confluence Server-Software. Auslöser für die Untersuchung waren verdächtige Aktivitäten auf den Hosts, so wurde aus JSP-Webshells auf die Festplatte geschrieben.
Bei einer ersten Überprüfung eines der Confluence Server-Systeme wurde schnell festgestellt, dass eine JSP-Datei in ein öffentlich zugängliches Webverzeichnis geschrieben worden war. Bei der Datei handelte es sich um eine bekannte Kopie der JSP-Variante der China Chopper Webshell. Eine Überprüfung der Webprotokolle ergab jedoch, dass auf die Datei kaum zugegriffen worden war. Die Webshell scheint als Mittel für einen sekundären Zugriff geschrieben worden zu sein.
Anzeige
Volexity verwendete seine Lösung Volexity Surge Collect Pro ein, um Systemspeicher und Schlüsseldateien von den Confluence Server-Systemen zur Analyse zu kopieren. Nach einer gründlichen Überprüfung der gesammelten Daten konnte Volexity feststellen, dass die Kompromittierung des Servers von einem Angreifer ausging,. Dieser verwendete einen Exploit, um eine Remotecodeausführung zu erreichen. Volexity war anschließend in der Lage, diesen Exploit nachzustellen und eine Zero-Day-Schwachstelle zu identifizieren, die sich auf aktuelle Versionen von Confluence Server auswirkt.
Kein Patch für CVE-2022-26134 verfügbar
Nach der Entdeckung und Überprüfung dieser Schwachstelle kontaktierte Volexity Atlassian, um die relevanten Details am 31. Mai 2022 zu melden. Atlassian hat die Schwachstelle CVE-2022-26134 inzwischen im Confluence Security Advisory 2022-06-02 bestätigt. Die Schwachstelle CVE-2022-26134 wird dort mit einem kritischen Schweregrad eingestuft und betrifft eine unauthentifizierte Remotecode-Ausführung Schwachstelle in Confluence Server und Data Center.
Zum jetzigen Zeitpunkt bestätigt Confluence, dass alle unterstützten Versionen von Confluence Server und Data Center betroffen sind. Es ist wahrscheinlich, dass alle Versionen von Confluence Server und Data Center betroffen sind. Hier dauern die Untersuchungen aber noch an.
Der Hersteller arbeitet aktiv an entsprechenden Sicherheitsupdates. Da es für diese Schwachstelle derzeit keinen Patch oder Fix gibt, empfiehlt Volexity allen Unternehmen dringend, den externen Zugriff auf ihre Confluence Server-Instanzen sofort zu sperren, bis ein Update von Atlassian bereitgestellt wird. Weitere Details sind dem Confluence Security Advisory 2022-06-02 sowie dem Volexity Blog-Beitrag Zero-Day Exploitation of Atlassian Confluence zu entnehmen.
Ergänzung: Zudem hat jemand auf Twitter auf Sigma-Regeln zum Erkennen hingewiesen.
Ergänzung 1: Die Schwachstelle wurde inzwischen durch Atlassion per Sicherheitsupdate gefixt – siehe 0-day Schwachstelle CVE-2022-26134 in Atlassian Confluence Server gefixt.
Ähnliche Artikel
Atlassian: Jira-/Confluence-Ausfall beeinflusst Kunden seit dem 5. April 2022
Atlassian: Jira-/Confluence-Ausfall, Tag 7 und kein Ende
Atlassian hat den Jira-/Confluence-Ausfall und Datenverlust behoben
Massen-Scans und Angriffe auf Confluence Enterprise Server
Atlassian-Schwachstelle ermöglicht Kontenübernahme
Anzeige
Nach dem letzten Exploit haben wir unser Confluence aus dem Internet genommen und nur noch intern verfügbar gemacht. Ich bin froh, dass es noch immer so ist.
also man muss schon sagen, wenn atlassian was in den sand setzt, dann immer gleich richtig. vielleicht wird das den kunden eine lehre und sie meiden deren produkte