Atlassian heeft onlangs enkele noodpatches uitgebracht voor een zeer kritieke zeroday kwetsbaarheid in zijn Confluence DataCenter- en Server-software. De kwetsbaarheid is al door hackers misbruikt.
Volgens Atlassian gaat het om een zeroday-kwetsbaarheid in publiek toegankelijke Confluence DataCenter- en Server- instances. Hackers kunnen hiermee ongeautoriseerde Confluence-admin-accounts aanmaken en toegang kunnen krijgen tot andere Confluence-instances.
Getroffen versies
De kwetsbaarheid acht Atlassian dermate kritiek dat gebruikers direct de bewuste software moeten updaten. Getroffen versies van Confluence DataCenter en Confluence Server zijn versie 8.0 tot en met versie 8.5.1.
Mitigatiemaatregelen
Om problemen te voorkomen, moeten eindgebruikers daarnaast ook andere maatregelen nemen. Atlassian beveelt aan getroffen instances direct van het internet los te koppelen als zij niet meteen van een patch kunnen worden voorzien. Ook kunnen eindgebruikers aanvalsvectoren verminderen door toegang te beperken tot de /setup/* endpoints op Confluence-instances.
Verder moeten alle Confluence-gebruikers hun instances checken op mogelijke inbreuken. Denk hierbij aan onder meer het tegenkomen van onverwachte leden in de Confluence-admingroep, onverwachte nieuw aangemaakte gebruikersaccounts, verzoeken tot /setup/*.action in de network access logs en de aanwezigheid van /setup/setupadministrator.action in een uitzonderingsbericht in atlassian-confluence-security.log in de Confluence home directory.
2 dagen geleden
