{"id":265994,"date":"2022-06-03T07:17:45","date_gmt":"2022-06-03T05:17:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265994"},"modified":"2022-06-04T00:30:01","modified_gmt":"2022-06-03T22:30:01","slug":"0-day-schwachstelle-cve-2022-26134-in-atlassian-confluence-software","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/03\/0-day-schwachstelle-cve-2022-26134-in-atlassian-confluence-software\/","title":{"rendered":"0-day Schwachstelle CVE-2022-26134 in Atlassian Confluence Software"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher von Volexity sind am Wochenende auf eine 0-day Schwachstelle (CVE-2022-26134) in Atlassian Confluence Software gesto\u00dfen. Diese Schwachstelle wird aktiv ausgenutzt – erst dadurch ist der Sachverhalt den Sicherheitsforschern aufgefallen. Aktuell gilt der dringende Rat an Administratoren, die f\u00fcr die Wartung von Atlassian Confluence Software (Server, Data Center) zust\u00e4ndig sind, sicherzustellen, dass dieses Produkt nicht per Internet erreichbar ist – oder im Zweifelsfall ganz abzuschalten. Erg\u00e4nzung:<\/strong> Die Schwachstelle ist gefixt.<\/p>\n

<\/p>\n

\"\"Ich bin die Nacht \u00fcber nachfolgenden Tweet<\/a> auf den Sachverhalt aufmerksam geworden, der von Volexity im Blog-Beitrag Zero-Day Exploitation of Atlassian Confluence<\/a> vom 2. Juni 2022 \u00f6ffentlich gemacht wurde.<\/p>\n

\"0-day<\/p>\n

Entdeckung nach Angriff<\/h2>\n

Die Sicherheitsforscher von Volexity waren am US Memorial-Day-Wochenende gezwungen, eine Incident-Response-Untersuchung bei zwei mit dem Internet verbundene Webserver eines seiner Kunden durchzuf\u00fchren. Auf beiden Webservern lief die Atlassian Confluence Server-Software. Ausl\u00f6ser f\u00fcr die Untersuchung waren verd\u00e4chtige Aktivit\u00e4ten auf den Hosts, so wurde aus JSP-Webshells auf die Festplatte geschrieben.<\/p>\n

Bei einer ersten \u00dcberpr\u00fcfung eines der Confluence Server-Systeme wurde schnell festgestellt, dass eine JSP-Datei in ein \u00f6ffentlich zug\u00e4ngliches Webverzeichnis geschrieben worden war. Bei der Datei handelte es sich um eine bekannte Kopie der JSP-Variante der China Chopper Webshell. Eine \u00dcberpr\u00fcfung der Webprotokolle ergab jedoch, dass auf die Datei kaum zugegriffen worden war. Die Webshell scheint als Mittel f\u00fcr einen sekund\u00e4ren Zugriff geschrieben worden zu sein.<\/p>\n

Volexity verwendete seine L\u00f6sung Volexity Surge Collect Pro ein, um Systemspeicher und Schl\u00fcsseldateien von den Confluence Server-Systemen zur Analyse zu kopieren. Nach einer gr\u00fcndlichen \u00dcberpr\u00fcfung der gesammelten Daten konnte Volexity feststellen, dass die Kompromittierung des Servers von einem Angreifer ausging,. Dieser verwendete einen Exploit, um eine Remotecodeausf\u00fchrung zu erreichen. Volexity war anschlie\u00dfend in der Lage, diesen Exploit nachzustellen und eine Zero-Day-Schwachstelle zu identifizieren, die sich auf aktuelle Versionen von Confluence Server auswirkt.<\/p>\n

Kein Patch f\u00fcr CVE-2022-26134 verf\u00fcgbar<\/h2>\n

Nach der Entdeckung und \u00dcberpr\u00fcfung dieser Schwachstelle kontaktierte Volexity Atlassian, um die relevanten Details am 31. Mai 2022 zu melden. Atlassian hat die Schwachstelle CVE-2022-26134 inzwischen im Confluence Security Advisory 2022-06-02<\/a> best\u00e4tigt. Die Schwachstelle CVE-2022-26134 wird dort mit einem kritischen Schweregrad eingestuft und betrifft eine unauthentifizierte Remotecode-Ausf\u00fchrung Schwachstelle in Confluence Server und Data Center.<\/p>\n

Zum jetzigen Zeitpunkt best\u00e4tigt Confluence, dass alle unterst\u00fctzten Versionen von Confluence Server und Data Center betroffen sind. Es ist wahrscheinlich, dass alle Versionen von Confluence Server und Data Center betroffen sind. Hier dauern die Untersuchungen aber noch an.<\/p>\n

Der Hersteller arbeitet aktiv an entsprechenden Sicherheitsupdates. Da es f\u00fcr diese Schwachstelle derzeit keinen Patch oder Fix gibt, empfiehlt Volexity allen Unternehmen dringend, den externen Zugriff auf ihre Confluence Server-Instanzen sofort zu sperren, bis ein Update von Atlassian bereitgestellt wird. Weitere Details sind dem Confluence Security Advisory 2022-06-02<\/a> sowie dem Volexity Blog-Beitrag Zero-Day Exploitation of Atlassian Confluence<\/a> zu entnehmen.<\/p>\n

\"Follina<\/a><\/p>\n

Erg\u00e4nzung:<\/strong> Zudem hat jemand auf Twitter<\/a> auf Sigma-Regeln zum Erkennen hingewiesen.<\/p>\n

Erg\u00e4nzung 1:\u00a0<\/strong>Die Schwachstelle wurde inzwischen durch Atlassion per Sicherheitsupdate gefixt – siehe\u00a00-day Schwachstelle CVE-2022-26134 in Atlassian Confluence Server gefixt<\/a>.<\/p>\n

\u00c4hnliche Artikel<\/strong>
\nAtlassian: Jira-\/Confluence-Ausfall beeinflusst Kunden seit dem 5. April 2022<\/a>
\nAtlassian: Jira-\/Confluence-Ausfall, Tag 7 und kein Ende<\/a>
\nAtlassian hat den Jira-\/Confluence-Ausfall und Datenverlust behoben<\/a>
\nMassen-Scans und Angriffe auf Confluence Enterprise Server<\/a>
\nAtlassian-Schwachstelle erm\u00f6glicht Konten\u00fcbernahme<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher von Volexity sind am Wochenende auf eine 0-day Schwachstelle (CVE-2022-26134) in Atlassian Confluence Software gesto\u00dfen. Diese Schwachstelle wird aktiv ausgenutzt – erst dadurch ist der Sachverhalt den Sicherheitsforschern aufgefallen. Aktuell gilt der dringende Rat an Administratoren, die f\u00fcr die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,3836],"class_list":["post-265994","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265994","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265994"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265994\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265994"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265994"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265994"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}