聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该公司提到,“从一些客户处获知,外部攻击者可能已经利用了位于可公开访问呢的 Confluence Data Center and Server 实力中的未知漏洞,创建越权的 Confluence 管理员账户并访问 Confluence 实力。Atlassian Cloud 站点不受该漏洞影响。如用户的 Confluence 站点可经由 atlassian.net 域访问,则说明该站点由 Atlassian 托管且不受漏洞影响。”
该漏洞的编号是CVE-2023-22515,是一个严重的提权漏洞,影响 Confluence Data Center and Server 8.0.0及后续版本,可在无需用户交互的复杂度低下的攻击中遭远程利用。
使用受影响版本的用户应尽快修复至已修复版本即 8.3.3或后续版本、8.4.3或后续版本以及8.5.2及后续版本。除升级和应用缓解措施外,Atlassian 公司还指出如无法立即应用补丁,则关闭受影响实例或将其与互联网访问隔离。管理员可删除与该漏洞相关联的已知攻击向量,方法是阻止访问 Confluence 实力上的 /setup/*端点。该公司提到,“公开互联网上的实例易处于风险之中,因为该漏洞可遭匿名利用。”
Atlassian 公司还建议查看所有 Confluence 实例中是否存在受陷指标,包括:
Confluence-administrator 组的异常成员
新建的异常用户账户
网络访问日志中对 /setup/*.action 的请求
Confluence 主页目录中atlassian-confluence-security.log 中异常消息中出现/setup/setupadministrator.action
补丁发布后,威胁行动者很可能将tongguo 逆向发布所修复的弱点,从而加速创建可用exploit。Atlassian 公司提醒称,“如果确定 Confluence Server/DC实例已遭攻陷,则我们建议立即关闭并从网络/互联网断开服务器。另外,可能需要立即关闭其它可能共享用户库或与受陷系统共同用户秘密组合的其它系统。”
立即修复Confluence 服务器至关重要,因为恶意人员对它们的兴趣高涨,此前AvosLocker 和 Cerber2021勒索软件、Linux 僵尸网络恶意软件以及加密矿机都说明了这一点。去年,CISA 下令要求联邦机构修复另外一个严重的 Confluence 漏洞CVE-2022-26138。
Atlassian 修复Crowd 和 Bitbucket 产品中的严重漏洞
https://www.bleepingcomputer.com/news/security/atlassian-patches-critical-confluence-zero-day-exploited-in-attacks/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh