Bei der kommerziellen Wiki-Software des australischen Unternehmen Atlassian ist eine Zero-Day-Sicherheitslücke bekannt geworden. Es soll bereits zur aktiven Ausnutzung gekommen sein.
Entdeckung der Sicherheitslücke
Entdeckt hatte die jetzige Sicherheitslücke bereits Ende Mai eine Sicherheitsfirma. Diese stellte fest, dass Angreifer die Sicherheitslücke nutzten, um eine Webshell auf Servern von Kunden zu installieren. Mehrere Gruppen aus China haben die Zero-Day-Sicherheitslücke demnach wohl ausgenutzt. Betroffen sollen dabei alle aktuellen Versionen von Confluence sein.
Am 03. Juni gab Atlassian auf der eigenen Confluence Support-Website Handlungsempfehlungen an die Nutzer heraus.
Ein Update für die Behebung der Lücke ist bereits durch Atlassian bereitgestellt worden, wir konnten Kundeninstallationen bereits erfolgreich auf die aktuellste Version 7.18.1 updaten:
Allen betroffenen Installationen, die im Internet verfügbar waren, empfehlen wir intensiv die Server nach Webshells und Angriffsspuren abzusuchen (z.B. in Logfiles und Configs), es sei denn man hatte Container-Lösungen wie z.B. Docker im Einsatz und beim Upgrade des Containers den alten somit entsorgt und nur die Daten übernommen, so haben wir es gelöst.
Code Qualität und Sicherheit lässt nach bei Atlassian
Bereits im April kam es bei Atlassian zu einem längeren Ausfall. Betroffen waren die Clouddienste, sodass Tools wie Jira und Confluence für zum Teil bis zu 14 Tage nicht erreichbar waren. Hierbei handelte es sich allerdings bloß um ein fehlerhaftes Skript, das behoben werden konnte. Der Fehler im Skript hatte dazu geführt, dass IDs von Apps oder Sites angenommen und ohne eine zweite Nachfrage gelöscht wurden. Dieser Fehler wurde allerdings erst später erkannt, sodass es zunächst zu einem längerfristigen Ausfall kam. Aus diesen Fehlern wollte Atlassian laut eigenen Angaben lernen. Betroffen von den Auswirkungen des fehlerhaften Skriptes waren hierbei etwa 775 Kunden.
Was können Betroffene tun?
Solange es bei solchen Zero-Day-Sicherheitslücken noch keinen offiziellen Fix des Herstellers gibt, werden die Administratoren angehalten, den Zugriff auf den Confluence-Server entweder stark einzuschränken oder ganz abzuschalten. Wir hatten durch ein Abo der Security Newsletter von Atlassian bereits am Freitag Kenntnis von der Lücke erlangt und konnten durch gute Alarmketten Kundeninstanzen abschalten.
Grundsätzlich ist eine Anwendung, die zur Funktionsfähigkeit im Internet verfügbar sein muss, anfälliger für Probleme im Bereich der Informationssicherheit. Gerade Unternehmen sind mit einem selbst gehosteten System im Intranet, nicht internetbasierten Lösungen, bei hohen Schutzbedarf besser beraten.
Warnungen vor der Sicherheitslücke
Auch in Amerika kursieren Warnungen vor der Sicherheitslücke. Die Cyber Security and Information Security Agency (CISA) forderte, dass alle Bundesbehörden den Datenverkehr zu den Servern von Confluence abbrechen müssen.
Ihr Unternehmen braucht fachkundige Unterstützung im Bereich Datensicherheit und Datenschutz? Unser Team an Experten steht Ihnen gern zur Seite!