Mjukvaruföretaget Atlassian har bett Confluence-användare att begränsa verktygets internetåtkomst eller stänga av det helt efter att ha hittat ett mycket allvarligt fel som utnyttjas i det vilda.

Samarbetsverktyget (Öppnas i en ny flik) har haft en bugg i flera år som gör det möjligt för hackare att installera oautentiserade attacker för fjärrexekvering av kod mot målslutpunkter (Öppnas i en ny flik), bekräftade samhället.

Som rapporterats av The Register rapporterade Atlassian först att han hittade felet den 2 juni. Eftersom korrigeringen fortfarande pågår och buggen aktivt utnyttjas, uppmanade företaget kunder att vidta alternativa åtgärder.

Ett decennium av risk

Till en början trodde företaget att endast den senaste versionen 7.18 av Confluence Server var sårbar, eftersom det fanns bevis för att denna version var under attack. Ytterligare undersökningar visade dock att alla versioner (som börjar med 1.3.5) var sårbara. Version 1.3.5 släpptes för nästan tio år sedan, 2013.

Lösningen (öppnas i en ny flik) är fortfarande under utveckling, och företaget lovar att den kommer att släppas i slutet av dagen (3 juni). Även om det verkligen är goda nyheter, är det möjligt att inte alla företag kommer att vara där i tid för patchen, med tanke på att det är fredag.

De som vill sova lugnt över helgen har flera alternativ: begränsa internetåtkomsten för Confluence Server- och Data Center-instanser, eller inaktivera Confluence Server- och Data Center-instanser helt och hållet. Atlassian sa också att företag kan implementera en regel för webbapplikationsbrandvägg (WAF) för att blockera alla webbadresser som innehåller €{, eftersom det "kan minska din risk."

Felet, identifierat som CVE-2022-26134, upptäcktes först av säkerhetsföretaget Volexity. Företaget säger att angripare kan infoga ett webbskal av Jave-serversidan i en allmänt tillgänglig webbkatalog på en Confluence-server.

"Filen var en känd kopia av China Chopper webshell JSP-varianten," skrev Volexity. ”En granskning av webbloggar visade dock att filen knappt var åtkomlig. Webbskalet verkar ha skrivits som ett sekundärt sätt att komma åt."

Confluences webbapplikationsprocess visade sig också lansera bash-skal, som "stack ut", sa Volexity, eftersom det skapade en bash-process som gav upphov till en Python-process, som skapade ett bash-skal. .

"Volexity tror att angriparen startade ett enda utnyttjandeförsök... som i sin tur laddade en skadlig klassfil i minnet. efterföljande förfrågningar. Fördelen med en sådan attack var att angriparen inte behövde kontinuerligt återutnyttja servern och köra kommandon utan att skriva en bakdörrsfil till disken."

Via registret (öppnas i ny flik)

Dela detta