Atlassian waarschuwt opnieuw voor een bug in Confluence die je data kwetsbaar maakt voor indringers. Wie niet patcht, riskeert ‘aanzienlijk gegevensverlies’.
Atlassian waarschuwt zijn klanten voor CVE-2023-22518, een kwetsbaarheid die onjuiste autorisatie kan veroorzaken in on-premise versies van Confluence Data Center en Server. Het devies van de leverancier is simpel: de software updaten naar een beschermde versie. Gebeurt dat niet, dan riskeer je ‘aanzienlijk gegevensverlies’, luidt de niet te mis te verstane waarschuwing.
Indien patchen niet onmiddellijk mogelijk is, adviseert Atlassian om zo snel mogelijk back-ups te maken en tijdelijke mitigaties door te voeren. Kwetsbare systemen worden ook best offline gehaald tot ze gepatcht zijn. Volgens Atlassian wordt de kwetsbaarheid nog niet actief misbruikt, maar dat is geen reden om te wachten met ingrijpen tot dat wél het geval is. De kwetsbaarheid kan aanvallers namelijk vrije toegang geven tot je data, al specifieert Atlassian niet exact hoe om kwaadwilligen geen gratis handleiding aan te reiken.
Achterpoortje
Ondanks de beschikbaarheid van een patch zijn de problemen in Confluence nog niet helemaal van de baan. Aon waarschuwt voor een nieuwe vorm van malware die de patches kan omzeilen, met de passende naam ‘Effluence’. De malware blijkt moeilijk te detecteren omdat die via atypische wegen wordt geïnstalleerd. De webshells alleen toegankelijk als de aanvaller in staat is om in te loggen op Confluence of via een door de aanvaller gecontroleerde webpagina.
Eens geïnstalleerd kan Effluence een uitgebreide reeks commando’s uitvoeren. Aon somt volgende zaken om:
- Een nieuw admin account aanmaken
- Elk commando uitvoeren op de hostserver
- Bestanden verwijderen en bewerken
- Extra plugins implementeren die meer functies of kwetsbaarheden kunnen bieden om uit te buiten
- Gebruikerswachtwoorden wijzigen
- Log inloggegevens bij elke inlogpogin
Een oplossing voor Effluence is er voorlopig nog niet en ook vanuit Atlassian is er nog geen communicatie. Klanten worden geadviseerd om extra waakzaam te blijven, ook als ze de laatste updates hebben geïnstalleerd.
Van kwetsbaarheid naar kwetsbaarheid
Atlassian en zijn klanten hebben de laatste weken hun handen vol met het oplossen van kwetsbaarheiden in de Confluence-software. Vorige maand werd een kwetsbaarheid ontdekt die actief werd misbruikt door Chinese hackers. Die kwetsbaarheid kreeg de maximale CVSS-score van tien op tien voor. CVE-2023-22518 mag met een score van 9,1 op 10 ook niet onderschat worden.
Deze opeenstapeling van beveiligingsincidenten doet de reputatie van Atlassian geen goed. In de zomer van 2022 ging de leverancier zelf ernstig de mist in door hardgecodeerde wachtwoorden in zijn software te programmeren, die onvermijdelijk uitgelekt waren met alle gevolgen van dien.
Dit artikel verscheen oorspronkelijk op 02/11. De tekst kreeg een update met de recentste informatie.