Atlassian veröffentlicht Patch für Confluence-Zero-Day-Fehler, der in freier Wildbahn ausgenutzt wird

  • Atlassian hat am Freitag Fixes veröffentlicht, um eine kritische Sicherheitslücke in den Produkten Confluence Server und Data Center zu beheben, die von Bedrohungsakteuren aktiv ausgenutzt wird, um Remotecodeausführung zu erreichen.

    Das als CVE-2022-26134 bezeichnete Problem ähnelt CVE-2021-26084 – einer anderen Sicherheitslücke, die das australische Softwareunternehmen im August 2021 gepatcht hat.

    Beide beziehen sich auf einen Fall von Object-Graph Navigation Language (OGNL) Injection, der ausgenutzt werden könnte, um die Ausführung von beliebigem Code auf einer Confluence Server- oder Data Center-Instanz zu erreichen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjaBbYTALewJvxPx8cnzv0FMFvygJ4ym5US2q-Uxw_N9KSMl8z0Z7pPOeXOEHgnJ9u00oLe7QZR55XMcwv60hQ_dIuT9MTSCTeu-C3cUe-RgpBF3_hTmoXh7ESgmtUaVloM9dS5jXLtkOLVeYSBrepZsVYuf3lxIAlCR4TsZhB-hFm_HGHwjkDsk9teXQ/s1600/Jira-ads.png]

    Die neu entdeckte Schwachstelle betrifft alle unterstützten Versionen von Confluence Server und Data Center, wobei auch alle Versionen nach 1.3.0 betroffen sind. Er wurde in den folgenden Versionen behoben –

    • 7.4.17
    • 7.13.7
    • 7.14.3
    • 7.15.2
    • 7.16.4
    • 7.17.4
    • 7.18.1

    Laut Statistiken der Internet-Asset-Discovery-Plattform Censys gibt es etwa 9.325 Dienste auf 8.347 verschiedenen Hosts, auf denen eine anfällige Version von Atlassian Confluence läuft, wobei sich die meisten Instanzen in den USA, China, Deutschland, Russland und Frankreich befinden.

    Beweise für eine aktive Ausnutzung der Schwachstelle, wahrscheinlich durch Angreifer chinesischer Herkunft, kamen ans Licht, nachdem das Cybersicherheitsunternehmen Volexity die Schwachstelle während des Memorial-Day-Wochenendes in den USA im Rahmen einer Incident-Response-Untersuchung entdeckt hatte.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    „Die Zielbranchen sind ziemlich weit verbreitet“, sagte Steven Adair, Gründer und Präsident von Volexity, in einer Reihe von Tweets. „Dies ist ein freier Wettbewerb, bei dem die Ausbeutung koordiniert zu sein scheint.

    „Es ist klar, dass mehrere Bedrohungsgruppen und einzelne Akteure über den Exploit verfügen und ihn auf unterschiedliche Art und Weise genutzt haben. Einige sind recht schlampig, andere sind etwas verdeckter.“

    Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat den Zero-Day-Bug nicht nur in ihren Known Exploited Vulnerabilities Catalog (Katalog bekannter ausgenutzter Schwachstellen) aufgenommen, sondern auch die Bundesbehörden aufgefordert, sofort den gesamten Internetverkehr zu und von den betroffenen Produkten zu blockieren und entweder die Patches anzuwenden oder die Instanzen bis zum 6. Juni 2022, 17 Uhr ET zu entfernen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com