Spoločnosť Atlassian plánovane zruší podporu pre produkt Confluence Server. Po dátume 15. februára 2024 aktualizácie zabezpečenia, opravy chýb, technickú podporu a ani aktualizácie technického obsahu online pre produkty Server nebude poskytovať. Spoločnosť Microsoft poukázala na aktívne zneužívané zero-day zraniteľností hackerskou skupinou podporovanou čínskou vládou v produktoch Atlassian Confluence Data Center a Server. Úspešné zneužitie umožňuje zvýšiť privilégiá na administrátora, narušiť integritu a získať heslá používateľov.

Zraniteľné systémy:

  • Confluence Data Center a Confluence Server (CVE-2023-22518)
  • Confluence Data Center a Confluence Server v. 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.1.0, 8.1.3, 8.1.4, 8.2.0, 8.2.1, 8.2.2, 8.2.3, 8.3.0, 8.3.1, 8.3.2, 8.4.0, 8.4.1, 8.4.2, 8.5.0, 8.5.1 (CVE-2023-22515)

Opis činnosti:

Spoločnosť Atlassian plánovane zruší poskytovanie podpory pre Confluence Server v dátume 15. februára 2024. Po tomto dátume už nebude poskytovať aktualizácie zabezpečenia, opravy chýb, technickú podporu a ani aktualizácie technického obsahu. Výrobca odporúča prechod na cloudové služby spoločnosti, Confluence Cloud alebo Confluence Data Center. Zákazníci sa môžu zapojiť do programu Atlassian Migration Program, ktorý im poskytne podporu pri plánovaní migrácie do cloudových služieb.

Zároveň spoločnosť Microsoft informovala, že odhalila aktívne zneužívanie dvoch kritických zraniteľností produktov Atlassian Confluence Data Center a Server.

CVE-2023-22518 (CVSS skóre 10)
Kritická zraniteľnosť CVE-2023-22518 umožňuje neautentifikovanému útočníkovi resetovať Confluence a vytvoriť inštanciu s účtom administrátora. Úspešné zneužitie dovoľuje úplné narušenie integrity systému.

CVE-2023-22515 (CVSS skóre 9,8)

Zero-day zraniteľnosť CVE-2023-22515 umožňuje obísť bezpečnostné prvky a vytvoriť administrátorský účet v aplikácii. Úspešné zneužitie dovoľuje útočníkovi odoslať špeciálne upravenú HTTP požiadavku na koncové body systému, a tým získať heslá používateľov.

APT Skupina Storm-0062 je hackerskou skupinou spojenou s čínskym Ministerstvom štátnej bezpečnosti a je aktívna v zbieraní informácií z rozličných výskumov, vládnych zložiek, softvérov, inžinierstva…

Používatelia neobdržia oznámenie o dokončení nastavenia. Zraniteľnosti sú aktívne zneužívané.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Eskalácia privilégií
  • Kompromitácia dôvernosti, dostupnosti a integrity systému
  • Únik informácií

Odporúčania:

– Bezodkladná aktualizácia Atlassian Confluence na verziu 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1 a novšie.

– Izolácia zraniteľných inštancií od internetu.

– Skontrolovať v kompromitovaných inštanciách v Confluence: novovytvorené používateľské účty

                                                                                                               členov v Confluence-administrátor

                                                                                                               požiadavky v protokoloch siete setup/*.action

                                                                                                               prítomnosť výnimiek v adresári Confluence- /setup/setupadministrator.action

Dočasná mitigácia zraniteľnosti CVE-2023-22515:
Návod na obnovenie inštancie nájdete tu.
Pokiaľ nemôžete obmedziť externý sieťový prístup, zablokujte prístu koncovým zariadeniam:
a. /json/setup-restore.action
b. /json/setup-restore-local.action
c. /json/setup-restore-progress.action

Na každom uzle upravte: /json/setup-restore.action /json/setup-restore-local.action /json/setup-restore-progress.action *
A následne reštartujte Confluence

Odkazy:

https://www.securityweek.com/microsoft-blames-nation-state-threat-actor-for-confluence-zero-day-attacks/

https://thehackernews.com/2023/10/microsoft-warns-of-nation-state-hackers.html

https://www.bleepingcomputer.com/news/security/microsoft-state-hackers-exploiting-confluence-zero-day-since-september/

https://nvd.nist.gov/vuln/detail/CVE-2023-22515

https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

https://www.cprime.com/resources/blog/atlassian-server-end-of-life-so-what/

https://confluence.atlassian.com/support/atlassian-support-end-of-life-policy-201851003.html

https://www.atlassian.com/migration/assess/journey-to-cloud

Zdroj: csirt.gov.sk