Atlassian hat vor einer kritischen, ungepatchten Schwachstelle in Confluence Server- und Data Center-Produkten gewarnt, die aktiv ausgenutzt wird.
Das australische Softwareunternehmen bedankt sich bei der Cybersecurity-Firma Volexity für die Identifizierung der Schwachstelle, die unter der Nummer CVE-2022-26134 geführt wird.
„Atlassian wurde darauf aufmerksam gemacht, dass derzeit eine kritische, nicht authentifizierte Schwachstelle in Confluence Data Center und Server aktiv ausgenutzt wird“, heißt es in einer Mitteilung.
„Es sind derzeit keine korrigierten Versionen von Confluence Server und Data Center verfügbar. Atlassian arbeitet mit höchster Priorität an einem Fix. Genauere Angaben zu der Sicherheitslücke wurden zurückgehalten, bis ein Software-Patch verfügbar ist.
Alle unterstützten Versionen von Confluence Server und Data Center sind betroffen, obwohl davon auszugehen ist, dass alle Versionen der Unternehmenslösung potenziell anfällig sind. Die früheste betroffene Version steht noch nicht fest.
In Ermangelung eines Fixes rät Atlassian seinen Kunden dringend, die Instanzen von Confluence Server und Data Center vom Internet abzuschotten oder die Instanzen ganz zu deaktivieren. Alternativ wird empfohlen, eine WAF-Regel (Web Application Firewall) zu implementieren, die URLs mit „${“ blockiert, um das Risiko zu verringern.
Volexity hat in einer unabhängigen Mitteilung erklärt, dass es die Aktivitäten am Memorial Day Wochenende in den USA im Rahmen einer Untersuchung der Vorfälle entdeckt hat.
Die Angriffskette beinhaltete die Ausnutzung des Atlassian Zero-Day-Exploits – eine Command-Injection-Schwachstelle – um eine unauthentifizierte Remote-Code-Ausführung auf dem Server zu erreichen, die es dem Angreifer ermöglichte, die Behinder Web Shell zu starten.
„Behinder bietet Angreifern sehr mächtige Möglichkeiten, wie z. B. speicherbasierte Webshells und integrierte Unterstützung für die Interaktion mit Meterpreter und Cobalt Strike“, so die Forscher. „Gleichzeitig erlaubt sie keine Persistenz, was bedeutet, dass ein Neustart oder ein Service-Neustart sie auslöscht.
Anschließend soll die Web-Shell als Kanal genutzt worden sein, um zwei weitere Web-Shells auf der Festplatte zu installieren, darunter China Chopper und eine benutzerdefinierte Dateiupload-Shell, um beliebige Dateien auf einen entfernten Server zu schleusen.
Die Entwicklung kommt weniger als ein Jahr, nachdem eine andere kritische Schwachstelle in Atlassian Confluence (CVE-2021-26084, CVSS-Score: 9.8) aktiv als Waffe eingesetzt wurde, um Kryptowährungs-Miner auf kompromittierten Servern zu installieren.
„Durch das Ausnutzen dieser Art von Schwachstelle können Angreifer direkten Zugang zu hochsensiblen Systemen und Netzwerken erlangen“, so Volexity. „Außerdem sind diese Systeme oft schwer zu untersuchen, da sie nicht über die entsprechenden Überwachungs- oder Protokollierungsfunktionen verfügen.