Am 2. Juni 2022 veröffentlichte das Unternehmen Atlassian ein Advisory zu einer kritischen Sicherheitslücke in seinem Produkt Confluence – einer weit verbreiteten Anwendungen zur Realisierung von Wikis.
Demnach könnte es einem unauthentifizierten Angreifenden gelingen, aus der Ferne Code auszuführen und eine Webshell zu installieren. Betroffen sind sowohl das Confluence Data Center als auch Confluence Server. Gemäß Common Vulnerabilities and Exposures (CVE) wird die Schwachstelle unter der Nummer CVE-2022-26134 geführt und als “kritisch” bewertet.
Gleichzeitig sind bereits Berichte über eine aktive Ausnutzung der Schwachstelle erschienen. So veröffentlichte das IT-Sicherheitsunternehmen Volexity einen Blogbeitrag zu den Erkenntnissen aus der Analyse eines Angriffs Ende Mai. Auch die amerikanische CISA hat die Sicherheitslücke in ihren „Known Exploited Vulnerabilities Catalog“ aufgenommen. Volexity stellte außerdem eine Liste der IPs zur Verfügung, von denen die Zugriffe auf die Webshells
erfolgten:
• 154.146.34.145
• 154.16.105.147
• 156.146.34.46
• 156.146.34.52
• 156.146.34.9
• 156.146.56.136
• 198.147.22.148
• 221.178.126.244
• 45.43.19.91
• 59.163.248.170
• 64.64.228.239
• 66.115.182.102
• 66.115.182.111
• 67.149.61.16
• 98.32.230.38
Bewertung
Die weite Verbreitung von Atlassian Confluence, die dort gespeicherten, mitunter nicht zur Veröffentlichung bestimmten Daten und das Fehlen eines Patches führen nach Ansicht des BSI dazu, dass kurzfristig mit weiteren Angriffen zu rechnen ist. Weiterhin muss davon ausgegangen werden, dass die Liste der bereitgestellten IPs nicht abschließend ist bzw. VPNs zum Einsatz kamen.
Maßnahmen
Atlassian hat auf seiner Internetseite zwei Mitigationsmaßnahmen genannt:
1. Einschränkung der Erreichbarkeit von Confluence aus dem Internet.
2. Abschaltung von Confluence Server und Data Center Instanzen.
Sofern diese Maßnahmen nicht möglich sind, kann das Risiko durch die Implementierung einer Regel für die Web Application Firewall gemindert werden: URLs, die die Zeichen “${” enthalten, sollten geblockt werden. Weiterhin sollten IT-Sicherheitsverantwortliche regelmäßig prüfen, wann das Unternehmen einen Update zur
Verfügung stellt.
Update 1
Der Hersteller hat am Freitagabend Patches für betroffene Lösungen zur Verfügung gestellt. IT-Sicherheitsverantwortliche sollten kurzfristig prüfen, ob ein Update zu den Confluence-Versionen 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 oder 7.18.1 möglich ist.
Da bereits eine aktive Ausnutzung der Schwachstelle beobachtet wurde und Exploit Code öffentlich im Umlauf ist, muss davon ausgegangen werden, dass Systeme, bei denen nicht sofort Schutzmaßnahmen umgesetzt wurden, inzwischen kompromittiert sein könnten. Das System selbst sowie seine Umgebung sollten daher auf Auffälligkeiten und Veränderungen überprüft werden.
www.bsi.bund.de