Atlassian hat eine kritische Remote Code Execution (RCE) Schwachstelle in älteren Versionen von Confluence Data Center und Confluence Server festgestellt, welche als CVE-2023-22527 identifiziert wurde. Diese Schwachstelle, die als „Template Injection Vulnerability“ beschrieben wird, ermöglicht es nicht authentifizierten Angreifern, Remote-Code auf betroffenen Confluence-Endpunkten auszuführen. Betroffen sind Confluence Data Center und Server Versionen 8.0.x bis 8.5.3, die vor dem 5. Dezember 2023 veröffentlicht wurden, einschließlich Versionen, die keine Backport-Fixes mehr erhalten, wie beispielsweise 8.4.5.
Atlassian hat die Schwachstelle in den Versionen 8.5.4 (LTS), 8.6.0 (nur Data Center) und 8.7.1 (nur Data Center) behoben, die im Dezember 2023 veröffentlicht wurden. Kunden, die auf diese oder neuere Versionen aktualisiert haben, sind von dieser Schwachstelle nicht betroffen. Für Confluence Cloud-Instanzen oder Version 7.19.x besteht keine Gefahr durch diese Schwachstelle.
Es wird dringend empfohlen, dass betroffene Kunden ihre Systeme unverzüglich aktualisieren. Für die Schwachstelle gibt es keine bekannten Workarounds. Sollte ein sofortiges Update nicht möglich sein, wird geraten, das System sofort vom Internet zu trennen, die Daten der Instanz an einem sicheren Ort außerhalb der Confluence-Instanz zu sichern und das lokale Sicherheitsteam zur Überprüfung auf mögliche bösartige Aktivitäten hinzuzuziehen. Atlassian hat bisher keine aktive Ausnutzung dieser Schwachstelle festgestellt.
Update Februar 2024
Im Januar 2024 veröffentlichte Atlassian ein Sicherheitsbulletin, in dem 28 schwerwiegende Sicherheitslücken gemeldet wurden, die in neuen Versionen ihrer Produkte behoben wurden. Diese Sicherheitslücken wurden durch ihr Bug-Bounty-Programm, Pen-Testing-Verfahren sowie Scans von Drittanbieterbibliotheken identifiziert. Es wird betont, dass die im monatlichen Sicherheitsbulletin enthaltenen Schwachstellen eine geringere Auswirkung haben als die über kritische Sicherheitswarnungen veröffentlichten und dass Kunden außerhalb des monatlichen Zeitplans hochpriorisierte Patches erhalten können, falls dies notwendig ist
März 2024: CVE-2023-22527 Exploits
Ein Bericht von VulnCheck deutet auf eine signifikante Anzahl von Angriffen hin auf verwundbare Server hin. Ein Bericht von Imperva spricht von über 650.000 Ausnutzungsversuchen bereits im Januar 2024. Um die mit CVE-2023-22527 verbundenen Risiken zu minimieren, ist daher dringend auf angeraten Atlassian Confluence auf die neueste Version zu aktualisieren. Denn die Ausnutzung von CVE-2023-22527 wird immer raffinierter, so wurden bereits mehr als 30 Versuche, In-Memory-Reverse-Shells vom Typ Godzilla Webshell zu implementieren, die rein in-memory existieren, und daher kaum detektierbar sind.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: