Dzięki komercyjnemu oprogramowaniu wiki australijskiej firmy Atlassian, a Luka bezpieczeństwa typu zero-day stały się znane. Mówi się, że aktywna eksploatacja już nastąpiła.
Odkrycie słabości
Obecna luka została odkryta przez firmę zajmującą się bezpieczeństwem pod koniec maja. Odkryli oni, że napastnicy wykorzystywali lukę do instalowania webshella na serwerach klientów. Według raportu, kilka grup z Chin wykorzystało lukę bezpieczeństwa zero-day. Mówi się, że wszystkie obecne wersje Confluence są zagrożone.
03 czerwca Atlassian wydał zalecenia działania dla użytkowników na własnej stronie wsparcia Confluence.
Aktualizacja naprawiająca lukę została już udostępniona przez AtlassianZ powodzeniem zaktualizowaliśmy już instalacje klientów do najnowszej wersji 7.18.1. aktualizacja:
Zalecamy wszystkim dotkniętym instalacjom, które były dostępne w Internecie, intensywne przeszukiwanie serwerów w poszukiwaniu webshelli i śladów ataków (np. w plikach logów i configach), chyba że korzystaliście z rozwiązań kontenerowych takich jak Docker i dzięki temu pozbyliście się starego kontenera podczas aktualizacji, a przejęliście tylko dane, co rozwiązaliśmy w ten sposób.
Spada jakość i bezpieczeństwo kodu w firmie Atlassian
Atlassian doświadczył przedłużającej się awarii jeszcze w kwietniu. Ucierpiały na tym usługi chmurowe, przez co narzędzia takie jak Jira czy Confluence były niedostępne nawet przez 14 dni. Było to jednak spowodowane jedynie wadliwym skryptem, który można było naprawić. Błąd w skrypcie powodował, że identyfikatory aplikacji lub witryn były akceptowane i usuwane bez drugiego żądania. Błąd ten został jednak rozpoznany dopiero później, więc początkowo doszło do dłuższego przestoju. Według firmy Atlassian, chciała ona wyciągnąć wnioski z tych błędów. Skutki wadliwego skryptu dotknęły około 775 klientów.
Co mogą zrobić ci, których to dotyczy?
Dopóki nie ma oficjalnej poprawki od producenta dla takich luk bezpieczeństwa zero-day, administratorzy powinni albo mocno ograniczyć dostęp do serwera Confluence, albo całkowicie go wyłączyć. O luce dowiedzieliśmy się już w piątek dzięki subskrypcji biuletynu bezpieczeństwa firmy Atlassian i mogliśmy zamknąć instancje klientów dzięki dobrym łańcuchom ostrzegawczym.
Zasadniczo aplikacja, która musi być dostępna w Internecie, aby funkcjonować, jest bardziej podatna na problemy związane z bezpieczeństwem informacji. W szczególności firmy lepiej radzą sobie z samowystarczalnym systemem w intranecie, a nie rozwiązaniami internetowymi, jeśli potrzeba ochrony jest wysoka.
Ostrzeżenia o luce
Ostrzeżenia o luce krążą również w Ameryce. Agencja Cyberbezpieczeństwa i Bezpieczeństwa Informacji (CISA) zażądała od wszystkich agencji federalnych wstrzymania ruchu danych do serwerów Confluence.
Twoja firma potrzebuje fachowego wsparcia w zakresie bezpieczeństwa i ochrony danych? Nasz zespół ekspertów z przyjemnością udzieli Ci pomocy!