Atlassian informiert Administratoren über einen öffentlich verfügbaren Exploit für eine kritische Sicherheitslücke in Confluence, die zur Datenzerstörung auf Internet-exponierten und ungepatchten Instanzen ausgenutzt werden kann.

Die Schwachstelle, unter der Kennung CVE-2023-22518 geführt, ist eine Fehlkonfiguration bei der Autorisierung und hat eine Schwerebewertung von 9,1/10. Sie betrifft alle Versionen der Confluence Data Center und Server Software.

Laut einer Aktualisierung der ursprünglichen Warnmeldung von Atlassian wurde ein öffentlich zugänglicher Exploit entdeckt, der öffentlich zugängliche Instanzen kritisch gefährdet.

Atlassian betont: „Bei der fortlaufenden Überwachung dieser CVE haben wir öffentlich verfügbare kritische Informationen über die Schwachstelle gefunden, die das Risiko einer Ausnutzung erhöhen.“

Bisher gibt es zwar keine Berichte über eine aktive Ausnutzung des Exploits, jedoch müssen Kunden sofortige Maßnahmen ergreifen, um ihre Instanzen zu schützen. Wer bereits den Patch angewendet hat, muss keine weiteren Schritte unternehmen.

Obwohl Angreifer die Schwachstelle nutzen können, um Daten auf betroffenen Servern zu löschen, ist es nicht möglich, Daten von anfälligen Instanzen zu stehlen. Confluence-Cloud-Sites, die über eine atlassian.net-Domain aufgerufen werden, sind nicht betroffen.

Atlassian hat die kritische Schwachstelle CVE-2023-22518 in den Confluence Data Center und Server-Versionen 7.19.16, 8.3.4, 8.4.4, 8.5.3 und 8.6.1 behoben.

Verfügbare Maßnahmen zur Milderung Das Unternehmen drängt Administratoren, ihre Software sofort zu aktualisieren. Sollte dies nicht möglich sein, sollten vorübergehende Sicherheitsmaßnahmen angewandt werden, einschließlich der Sicherung ungepatchter Instanzen und des Blockierens des Internetzugangs zu ungepatchten Servern, bis diese aktualisiert werden können.

Falls ein sofortiges Patchen der Confluence-Instanzen nicht möglich ist, kann man bekannte Angriffsvektoren blockieren, indem man den Zugriff auf die folgenden Endpunkte sperrt und die Datei /<confluence-install-dir>/confluence/WEB-INF/web.xml entsprechend der Anweisung im Hinweis ändert und die verwundbare Instanz neu startet:

/json/setup-restore.action /json/setup-restore-local.action /json/setup-restore-progress.action

Atlassian warnt: „Diese Maßnahmen sind begrenzt und kein Ersatz für das Patchen Ihrer Instanz; Sie müssen so bald wie möglich patchen.“

Im letzten Monat haben CISA, FBI und MS-ISAC dazu aufgerufen, Atlassian Confluence-Server dringend gegen eine aktiv ausgenutzte Privilegieneskalationslücke, bekannt als CVE-2023-22515, zu patchen.

Microsoft entdeckte später, dass eine chinesische Bedrohungsgruppe, bekannt als Storm-0062 (auch DarkShadow oder Oro0lxy), diesen Fehler seit dem 14. September 2023 als Zero-Day ausgenutzt hatte.

Das Sichern anfälliger Confluence-Server ist entscheidend, da diese in der Vergangenheit bereits Ziel umfangreicher Angriffe waren, bei denen AvosLocker und Cerber2021 Ransomware, Linux-Botnet-Malware und Krypto-Miner verbreitet wurden.