Confluence Data Center und Server nach RCE Schwachstelle jetzt patchen
Table of Contents
Atlassian hat eine kritische Remote Code Execution (RCE) Schwachstelle in Ă€lteren Versionen von Confluence Data Center und Confluence Server festgestellt, welche als CVE-2023-22527 identifiziert wurde. Diese Schwachstelle, die als “Template Injection Vulnerability” beschrieben wird, ermöglicht es nicht authentifizierten Angreifern, Remote-Code auf betroffenen Confluence-Endpunkten auszufĂŒhren. Betroffen sind Confluence Data Center und Server Versionen 8.0.x bis 8.5.3, die vor dem 5. Dezember 2023 veröffentlicht wurden, einschlieĂlich Versionen, die keine Backport-Fixes mehr erhalten, wie beispielsweise 8.4.5.
Atlassian hat die Schwachstelle in den Versionen 8.5.4 (LTS), 8.6.0 (nur Data Center) und 8.7.1 (nur Data Center) behoben, die im Dezember 2023 veröffentlicht wurden. Kunden, die auf diese oder neuere Versionen aktualisiert haben, sind von dieser Schwachstelle nicht betroffen. FĂŒr Confluence Cloud-Instanzen oder Version 7.19.x besteht keine Gefahr durch diese Schwachstelle.
Es wird dringend empfohlen, dass betroffene Kunden ihre Systeme unverzĂŒglich aktualisieren. FĂŒr die Schwachstelle gibt es keine bekannten Workarounds. Sollte ein sofortiges Update nicht möglich sein, wird geraten, das System sofort vom Internet zu trennen, die Daten der Instanz an einem sicheren Ort auĂerhalb der Confluence-Instanz zu sichern und das lokale Sicherheitsteam zur ĂberprĂŒfung auf mögliche bösartige AktivitĂ€ten hinzuzuziehen. Atlassian hat bisher keine aktive Ausnutzung dieser Schwachstelle festgestellt.
Update Februar 2024
Im Januar 2024 veröffentlichte Atlassian ein Sicherheitsbulletin, in dem 28 schwerwiegende SicherheitslĂŒcken gemeldet wurden, die in neuen Versionen ihrer Produkte behoben wurden. Diese SicherheitslĂŒcken wurden durch ihr Bug-Bounty-Programm, Pen-Testing-Verfahren sowie Scans von Drittanbieterbibliotheken identifiziert. Es wird betont, dass die im monatlichen Sicherheitsbulletin enthaltenen Schwachstellen eine geringere Auswirkung haben als die ĂŒber kritische Sicherheitswarnungen veröffentlichten und dass Kunden auĂerhalb des monatlichen Zeitplans hochpriorisierte Patches erhalten können, falls dies notwendig istâ
MĂ€rz 2024: CVE-2023-22527 Exploits
Ein Bericht von VulnCheck deutet auf eine signifikante Anzahl von Angriffen hin auf verwundbare Server hin. Ein Bericht von Imperva spricht von ĂŒber 650.000 Ausnutzungsversuchen bereits im Januar 2024. Um die mit CVE-2023-22527 verbundenen Risiken zu minimieren, ist daher dringend auf angeraten Atlassian Confluence auf die neueste Version zu aktualisieren. Denn die Ausnutzung von CVE-2023-22527 wird immer raffinierter, so wurden bereits mehr als 30 Versuche, In-Memory-Reverse-Shells vom Typ Godzilla Webshell zu implementieren, die rein in-memory existieren, und daher kaum detektierbar sind.