En stor Atlassian Confluence-sårbarhet som nyligen upptäckts i nästan alla versioner av samarbetsverktyget (öppnas i en ny flik) som släppts under det senaste decenniet utnyttjas nu aktivt av hotaktörer, bekräftade samhället.
Sårbarheten gör det möjligt för hotaktörer att montera oautentiserade attacker för fjärrkörning av kod mot målslutpunkter (öppnas i en ny flik). Inom en dag efter upptäckten släppte företaget patchar för versionerna 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 och 7.18.1.
Eftersom bristen aktivt utnyttjas har företaget uppmanat sina användare och kunder att uppdatera verktyget (öppnas i en ny flik) till den senaste versionen omedelbart. Det spåras som CVE-2022-26134, men har ännu inte något allvarlighetsvärde. Atlassian listade det som "kritiskt".
Begränsa internetåtkomst
Det upptäcktes först av säkerhetsföretaget Volexity, som sa att angripare kunde infoga ett webbskal för Java Server Page i en allmänt tillgänglig webbkatalog på en Confluence-server.
Confluence-webbapplikationsprocessen visade sig också lansera bash-skal, som "stack ut", sa Volexity, eftersom det skapade en bash-process som gav upphov till en Python-process, som gav upphov till ett bash-skal. .
Confluence-användare som av någon anledning inte kan patcha har några ytterligare begränsningsalternativ, som kretsar kring att begränsa internetåtkomsten för verktyget. Under utvecklingen av patchen rådde företaget användarna att begränsa Internetåtkomst för Confluence Server- och Data Center-instanser, eller att inaktivera Confluence Server- och Data Center-instanser helt.
Atlassian sa också att företag kan implementera en regel för webbapplikationsbrandvägg (WAF) för att blockera alla webbadresser som innehåller €{, eftersom det "kan minska din risk."
Även om företaget betonade "aktuellt aktivt utnyttjande" i sitt meddelande, specificerade det inte vem som använder det eller mot vem.
Via: registret (öppnas i en ny flik)