Alvorlig sårbarhet i Confluence Server: - Hvem som helst kan ta over

- All informasjon som ligger på Confluence-instansen må ansees som tapt eller stjålet hvis den blir kompromittert, sier norsk sikkerhetsekspert.

- Det er viktig å merke seg at hvis man kjører SaaS-løsningen for Confluence fra Atlassian Cloud, er man ikke påvirket av denne sårbarheten, forteller Erik Vetle Larsen. 📸: Aztek / Atlassian / kode24
- Det er viktig å merke seg at hvis man kjører SaaS-løsningen for Confluence fra Atlassian Cloud, er man ikke påvirket av denne sårbarheten, forteller Erik Vetle Larsen. 📸: Aztek / Atlassian / kode24 Vis mer

- Sårbarheten kan føre til total kompromittering av de påvirkede Confluence-instansene, sier Erik Vetle Larsen, seniorkonsulent i Aztek og spesialist i penetrasjonstesting og hendelsesrespons, til kode24.

Sikkerhetsselskapet Volexity har oppdaget en nulldagssårbarhet i Atlassian Confluence Server-programvaren, som mange utviklere bruker.

Sårbarheten gjør det mulig å iverksette en uautorisert "remote code execution" (RCE), skriver de på sin egen blogg.

Volexity rapporterte inn sårbarheten til Atlassian den 31. mai 2022, og den har fått navnet CVE-2022-26134. Volexity har ikke vært i stand til å få en oversikt over alle berørte versjoner. Men har bekreftet at den fungerer på alle LTS-versjoner og andre gjeldende versjoner som 7.17.3.

Det er sannsynlig at alle gjeldende versjoner av produktet er påvirket.

Berører alle gjeldende versjoner

Ifølge Larsen er Confluence Server og Data Center programvarene som brukes for å kjøre en self-hosted instanse av Atlassian Confluence, i stedet for å kjøre SaaS-løsningen man kan få fra Atlassian sine skytjenester.

- Det er viktig å merke seg at hvis man kjører SaaS-løsningen for Confluence fra Atlassian Cloud, er man ikke påvirket av denne sårbarheten. Den gjelder kun for Atlassian Confluence Server og Data Center, sier han.

Larsen mener det er to grunner til at sårbarheten kan kalles for kritisk. Den første handler om hvor store konsekvenser den har, ettersom det er en RCE.

- Det betyr at angripere vil kunne kjøre kode på sårbare instanser uten å trenge noen form for innlogging eller annen autentisering. Kort oppsummert innebærer det at hvem som helst som har angrepskoden kan ta over sårbare instanser så lenge de kan nå den over internett.

Det andre elementet som gjør sårbarheten kritisk er at det er en nulldagssårbarhet. Det finnes ikke noen oppdateringer i skrivende stund som fikser sårbarheten.

- Atlassian skal ha gitt tegn til at en patch skal være klar innen kort tid, sier Larsen.

Må anses som tapt eller stjålet

- Hvor alvorlig er dette sammenlignet med andre sårbarheter?

- Sårbarheten kan føre til total kompromittering av de påvirkede Confluence-instansene, svarer Vetle Larsen.

Ettersom Confluence primært brukes til dokumentering og wiki-funksjonalitet betyr det ikke automatisk at resten av miljøet ditt har blitt tatt over.

Dette betyr ifølge ham at angriperne har en enkelt måte å få et solid fotfeste inn i ditt miljø.

- Det betyr også at all informasjon som ligger på Confluence-instansen må ansees som tapt eller stjålet hvis den blir kompromittert, sier Larsen.

Har kun to råd

For øyeblikket er det kun to råd som gjelder dersom du ønsker å sikre deg mot sårbarheten: Enten skru av Confluence instansene dine helt, eller sett instansene bak VPN med streng tilgangsstyring slik at de ikke er tilgjengelig fra internett.

Larsen legger til at at hvis man ikke er i stand til å gjøre noen av disse, skriver Atlassian i sin Security Advisory at man muligens kan redusere risikoen ved å implementere en Web Application Firewall-regel som blokkerer URL-er som inneholder "${" (uten anførselstegn).

- Når det er gjort må man inntil videre vente på en fiks fra Atlassian, og implementere den så fort som mulig etter den er sluppet, sier han.

Vurder å hent inn ekstern bistand

- Hva gjør du hvis du er bekymret over at du selv kan ha vært rammet?

- I Volexity sin første blogg-post om sårbarheten har de skrevet om hvordan de oppdaget kompromitteringen, og delt noen IOC-er (Indicators of Compromise) som man kan se etter hvis man mistenker at man har blitt rammet, sier Larsen.

Han legger til at du også bør overvåke nøye nettverkstrafikken rundt Confluence-instansene dine for å avdekke forsøk på angrep.

- Hvis man mistenker at man har blitt rammet, og man mangler kompetansen for å verifisere eller undersøke dette bør man vurdere å hente inn ekstern bistand innen hendelseshåndtering, sier Larsen.