Af Eskil Sørensen, 23/01/24
Mere end 600 IP-adresser er i gang med at iværksætte tusindvis af udnyttelsesforsøg mod forældede versioner af Atlassian Confluence Data Center og Server ifølge Shadowserver.
Det skriver The Register.
Det er tale om en kritisk fejl med scoren 10 ud af 10 mulige med id’et CVE-2023-22527. Det er en fejl, der gør det muligt for uautentificerede brugere at afvikle kode fra 'remote', dvs. RCE-angreb. Sårbarheden påvirker Confluence Data Center- og Server 8-versioner udgivet før 5. december 2023 og versioner op til 8.4.5.
Selv om Atlassian på det kraftigste har opfordret sine kunder til at opdatere ”med det samme" til den seneste tilgængelige version for at lukke hullet, viser Shadowservers scanninger, at ikke alle har fulgt rådet. Således er der afdækket mere end 11.000 tilfælde af sårbare instanser, og det er altså disse, som kriminelle slår til mod.
Interessant er det at Shadowserver har set mere end 39.000 sådanne forsøg siden 19. januar og over 600 IP'er er set være afsender af angreb. Patchet blev udsendt fra Atlassian den 16. januar. Der gik altså maksimalt tre dage fra sårbarheden blev offentligt kendt, til den blev forsøgt udnyttet.
Antag brud
Forskellige eksperter siger ifølge The Register. at man skal ’antage et brud eller i det væsentlige behandle det som kompromitteret, indtil det modsatte er bevist og tage sine forholdsregler’. Det omfatter naturligvis opdatering til en nyere, understøttet version, gennemgang af logfiler, overvågning og revision af de potentielt berørte systemer.
Det fremgår, at Atlassian den 15. februar stopper support for sine serverprodukter, hvorved alternativet skal være datacenterprodukter eller en migrering til cloud. The Register har oplysninger om, at fyrre procent af Atlassians kunder har til hensigt at fortsætte med at bruge de ikke-understøttede produkter på trods af, at Atlassian insisterer på, at de ikke vil levere opdateringer herefter.
Så det er nok ikke det sidste vi har hørt til angreb mod Atlassian.
Links:
https://www.bleepingcomputer.com/news/security/hackers-start-exploiting-...
https://www.securityweek.com/hackers-start-targeting-critical-atlassian-...
https://www.theregister.com/2024/01/22/atlassian_confluence_server_rce/
https://cert.dk/da/news/2024-01-17/Kritisk-saarbarhed-i-Atlassian-produkt