Af Eskil Sørensen, 03/06/22
Hackere udnytter aktivt en ny Atlassian Confluence 0-dagssårbarhed til at installere web-shells. Det skriver Bleeping Computer og en række andre medier på baggrund af en advisory, som Atlassian selv sendte på gaden i går. Sårbarheden har id’et CVE-2022-26134, og der er ingen rettelse tilgængelig på nuværende tidspunkt.
Der er tale om en remote code execution-sårbarhed, der findes både i Confluence Server og Data Center. Atlassian oplyser, at sårbarheden er bekræftet i Confluence Server 7.18.0 og tilføjer, at Confluence Server og Data Center 7.4.0 og nyere også er sårbare.
Atlassian advarer også om, at trusselsaktører aktivt udnytter Confluence Server 7.18.0.
Mitigering mulig
Atlassian opfordrer sine kunder til at gøre deres servere utilgængelige ved enten at begrænse Confluence Server og Data Center-instanser fra internettet eller ved at deaktivere Confluence Server og Data Center-instanser. Der er ingen andre måder at afbøde denne sårbarhed på.
Det oplyses videre, at brugere af Atlassian Cloud (tilgængelig via atlassian.net) er upåvirket af denne sårbarhed.
Atlassian arbejder aktivt på en patch og vil opdatere deres advisory, når den bliver tilgængelig. Seneste nye er, at en patch forventes med udgangen af den 3. juni PDT, hvilket svarer til lørdag morgen den 4. juni dansk tid.
Alvoren af sårbarheden understreges af, at CISA har tilføjet denne sårbarheden til sit 'Known Exploited Vulnerabilities Catalog' og krævet, at føderale enheder blokerer al internettrafik til Confluence-servere allerede i dag, altså den 3. juni.
Links:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
https://www.theregister.com/2022/06/03/atlassian_confluence_critical_flaw_attacked/