Angreifer nutzen öffentliche Exploits, um Schwachstelle in Atlassian Confluence zu beheben

  • Die Schwachstelle bleibt in vielen Versionen des Collaboration-Tools ungepatcht und hat das Potenzial, ein SolarWinds-ähnliches Szenario zu schaffen.

    Bedrohungsakteure nutzen öffentliche Exploits, um eine kritische Zero-Day-Schwachstelle für Remotecodeausführung (RCE) auszunutzen, die alle Versionen eines beliebten Collaboration-Tools betrifft, das in Cloud- und hybriden Serverumgebungen eingesetzt wird und eine vollständige Übernahme des Hosts ermöglicht.

    Forscher von Volexity entdeckten die Schwachstelle in der Atlassian Confluence Server und Data Center Software über das Memorial Day Wochenende, nachdem sie verdächtige Aktivitäten auf zwei dem Internet zugewandten Webservern eines Kunden, der die Software einsetzt, entdeckt hatten, so die Forscher in einem letzte Woche veröffentlichten Blogpost.

    Die Forscher verfolgten die Aktivität zu einem öffentlichen Exploit für die Sicherheitslücke CVE-2022-26134, die sich schnell verbreitet, und meldeten den Fehler anschließend an Atlassian. Wie von den Volexity-Forschern beobachtet, scheint das, was als „OGNL-Injektionsschwachstelle“ beschrieben wird, zu ermöglichen, dass eine Java Server Page (JSP) Webshell in ein öffentlich zugängliches Webverzeichnis der Confluence-Software geschrieben wird.[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/10165815/infosec_insiders_in_article_promo.png]

    „Die Datei war eine bekannte Kopie der JSP-Variante der China Chopper-Webshell“, schreiben die Forscher. „Eine Überprüfung der Webprotokolle zeigte jedoch, dass auf die Datei kaum zugegriffen wurde. Die Webshell scheint als Mittel für einen sekundären Zugriff geschrieben worden zu sein.“

    Atlassian veröffentlichte am selben Tag, an dem Volexity die Schwachstelle publik machte, einen Sicherheitshinweis, in dem Kunden gewarnt wurden, dass alle unterstützten Versionen von Confluence Server und Data Center nach Version 1.3.0 betroffen seien und dass keine Updates verfügbar seien. Dies veranlasste die Cybersecurity and Infrastructure Agency (CISA) des U.S. Department of Homeland Security, eine eigene Warnung vor der Schwachstelle herauszugeben.

    Einen Tag später veröffentlichte Atlassian ein Update, das die folgenden Versionen der betroffenen Produkte korrigiert: 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 und 7.18.1; außerdem wird den Kunden dringend empfohlen, das Update so bald wie möglich durchzuführen. Sollte dies nicht möglich sein, bietet das Unternehmen in der Mitteilung eine „vorübergehende“ Umgehung der Schwachstelle an, indem es eine Liste bestimmter Dateien aktualisiert, die bestimmten Versionen des Produkts entsprechen.

    Eskalation der Bedrohung

    In der Zwischenzeit eskaliert die Situation schnell und könnte laut Sicherheitsexperten epische Ausmaße annehmen, da täglich neue Exploits auftauchen und bereits Hunderte von IP-Adressen die Sicherheitslücke ausnutzen. Viele Versionen der betroffenen Produkte sind außerdem noch nicht gepatcht, was ebenfalls eine gefährliche Situation darstellt.

    „CVE-2022-26134 ist so schlimm, wie es nur sein kann“, bemerkte Naveen Sunkavalley, Chefarchitekt der Sicherheitsfirma Horizon3.ai, in einer E-Mail an Threatpost. Das Hauptproblem ist, dass die Schwachstelle recht einfach zu finden und auszunutzen ist, wobei letzteres mit einer einzigen HTTP-GET-Anfrage möglich ist, sagte er.

    Die kürzlich veröffentlichten Exploits, mit denen Angreifer die Schwachstelle ausnutzen können, um beliebige Befehle auszuführen und die Kontrolle über den Host zu übernehmen, sind laut Tests, die Horion3.ai durchgeführt hat, für eine Reihe von Confluence-Versionen geeignet, einschließlich der neuesten ungepatchten Version 7.18.0.

    In der Tat hat Twitter am vergangenen Wochenende mit Diskussionen über öffentliche Exploits für die Sicherheitslücke für Furore gesorgt. Am Samstag twitterte Andrew Morris, der CEO der Cybersecurity-Firma GreyNoise, dass sie begonnen hätten, 23 eindeutige IP-Adressen zu sehen, die die Atlassian-Schwachstellen ausnutzen. Am Montag twitterte Morris erneut, dass die Zahl der eindeutigen IP-Adressen, die versuchen, die Schwachstelle auszunutzen, innerhalb von nur 24 Stunden auf 400 gestiegen ist.

    Potenzial für SolarWinds 2.0?

    Sunkavalley wies darauf hin, dass die offensichtlichste Auswirkung der Schwachstelle darin besteht, dass Angreifer auf einfache Weise öffentlich zugängliche Confluence-Instanzen kompromittieren können, um in interne Netzwerke einzudringen und von dort aus noch mehr Schaden anzurichten.

    „Confluence-Instanzen enthalten oft eine Fülle von Benutzerdaten und geschäftskritischen Informationen, die für Angreifer, die sich seitlich in internen Netzwerken bewegen, wertvoll sind“, so Sunkavalley.

    Darüber hinaus handelt es sich bei der Schwachstelle um ein Quellcode-Problem, und Angriffe auf dieser Ebene „gehören zu den effektivsten und weitreichendsten Angriffen auf das IT-Ökosystem“, so Garret Grajek, CEO des Sicherheitsunternehmens YouAttest.

    Der inzwischen berühmt gewordene Angriff auf die Lieferkette von Solarwinds, der im Dezember 2020 begann und sich bis weit ins Jahr 2021 hinein erstreckte, war ein Beispiel für das Ausmaß des Schadens und der Bedrohung, die eingebettete Malware verursachen kann, und der Confluence-Bug hat das Potenzial, ein ähnliches Szenario zu schaffen, sagte er.

    „Durch den Angriff auf die Quellcode-Basis sind die Hacker in der Lage, den Code so zu manipulieren, dass sie faktisch zu Agenten des Hacking-Unternehmens werden, die kryptografisch als legitime Komponenten des IT-Systems registriert sind“, so Grajek.

    Aus diesem Grund ist es „zwingend erforderlich, dass Unternehmen ihren Code und vor allem die Identitäten, die die Kontrolle über das Quellsystem haben, wie Atlassian, überprüfen, um einen restriktiven und legitimen Zugang zu ihren wichtigen Codebasen zu gewährleisten“, so Grajek.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com