حان الوقت للتصحيح مرة أخرى: أربع ثغرات أمنية خطيرة في برنامج Atlassian تفتح الباب أمام تنفيذ التعليمات البرمجية عن بعد (RCE) والحركة الجانبية اللاحقة داخل بيئات المؤسسة. إنها مجرد أحدث الأخطاء التي ظهرت مؤخرًا في تعاون صانع البرامج ومنصات DevOps، والتي تميل إلى أن تكون هدفًا مفضلاً للمهاجمين السيبرانيين.
تتضمن نقاط الضعف، التي أصدرت شركة Atlassian إصلاحات لها يوم الثلاثاء، ما يلي:
-
CVE-2022-1471 (درجة خطورة ثغرة CVSS هي 9.8 من 10): إلغاء التسلسل في ثعبان مكتبة، مما يؤثر على منصات البرمجيات الأطلسية المتعددة.
-
CVE-2023-22522 (CVSS 9): ثغرة أمنية في حقن القالب والتي تؤثر على Confluence Server وData Center. يمكن لأي شخص قام بتسجيل الدخول إلى النظام، حتى بشكل مجهول، إدخال مدخلات المستخدم غير الآمنة في صفحة التقاء وتحقيق RCE، وفقًا لـ Atlassian.
-
CVE-2023-22523 (CVSS 9.8): RCE المميز في أداة فحص الشبكة Assets Discovery لـ Jira Service Management Cloud والخادم ومركز البيانات. وفقًا لاستشارة Atlassian، "توجد الثغرة الأمنية بين تطبيق Assets Discovery (المعروف سابقًا باسم Insight Discovery) ووكيل Assets Discovery".
-
CVE-2023-22524 (CVSS 9.6): RCE في تطبيق Atlassian Companion لنظام التشغيل macOS، والذي يُستخدم لتحرير الملفات في Confluence Data Center والخادم. وجاء في التحذير: "يمكن للمهاجم استخدام WebSockets لتجاوز قائمة الحظر الخاصة بـ Atlassian Companion وMacOS Gatekeeper للسماح بتنفيذ التعليمات البرمجية".
الحشرات الأطلسية بمثابة النعناع البري للمهاجمين السيبرانيين
تأتي أحدث التحذيرات في أعقاب سلسلة من عمليات الكشف عن الأخطاء من Atlassian، والتي تم ربطها بكل من استغلال يوم الصفر وما بعد التصحيح.
يعد برنامج Atlassian هدفًا شائعًا للجهات الفاعلة في مجال التهديد، وخاصة Confluence، وهو موقع wiki مؤسسي شائع قائم على الويب يستخدم للتعاون في بيئات الخادم السحابية والمختلطة. فهو يسمح بالاتصال بنقرة واحدة بمجموعة متنوعة من قواعد البيانات المختلفة، مما يجعل فائدته للمهاجمين لا مثيل لها. يستخدم أكثر من 60,000 ألف عميل Confluence، بما في ذلك LinkedIn وNASA وNew York Times.
إذا كان الماضي بمثابة مقدمة، فيجب على المسؤولين تصحيح أحدث الأخطاء على الفور. في أكتوبر، على سبيل المثال، طرحت شركة البرمجيات إصلاحات أمنية لخطأ RCE شديد الخطورة (CVSS 10) في Confluence Data Center and Server (CVE-2023-22515)، والذي تم استغلاله قبل التصحيح بواسطة التهديد المستمر المتقدم (APT) الذي ترعاه الصين والذي تم تتبعه باسم Storm-0062. وسرعان ما ظهرت سلسلة من عمليات استغلال إثبات المفهوم بعد الكشف عنها، مما مهد الطريق لمحاولات استغلال جماعية.
بعد فترة وجيزة، في نوفمبر، أطل خطأ آخر في RCE برأسه في Confluence Data Center and Server الذي تم استغلاله كيوم صفر في البرية، وتم إدراجه في الأصل بنتيجة 9.1 CVSS. ومع ذلك، ظهرت وفرة من برامج الفدية النشطة والهجمات الإلكترونية الأخرى بعد إصدار التصحيحات دفع Atlassian إلى رفع درجة الخطورة إلى 10.
في نفس الشهر، كشف أتلاسيان أن الخيزران التكامل المستمر (CI) والتسليم المستمر (CD) كان كل من خادم تطوير البرمجيات، بالإضافة إلى Confluence Data Center وServer، عرضة لمشكلة أخرى ذات خطورة قصوى - هذه المرة في مؤسسة Apache Software Foundation (ASF) وسيط رسائل ActiveMQ (CVE-2023-46604، CVSS 10). الخطأ الذي تم تسليحه باعتباره خطأ "n-day".، تم تزويدها أيضًا بسرعة بكود استغلال PoC، مما يسمح للمهاجم عن بعد بتنفيذ أوامر عشوائية على الأنظمة المتأثرة. أصدرت شركة Atlassian إصلاحات لكلا النظامين الأساسيين.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- :لديها
- :يكون
- $ UP
- 000
- 000 عميل
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- وفقا
- التأهيل
- نشط
- الجهات الفاعلة
- متقدم
- استشاري
- تتأثر
- تؤثر
- بعد
- مرة أخرى
- الوكيل
- السماح
- السماح
- يسمح
- أيضا
- an
- و
- مجهول
- آخر
- أباتشي
- التطبيق
- تطبيق
- التطبيقات
- APT
- هي
- AS
- ASF
- ممتلكات
- محاولات
- موثق
- خيزران
- BE
- كان
- ما بين
- على حد سواء
- وسيط
- علة
- البق
- by
- CAN
- CD
- مركز
- دائرة
- سحابة
- الكود
- للاتعاون
- تأتي
- رفيق
- حول الشركة
- احتشاد
- التواصل
- متواصل
- منظمة
- استطاع
- حرج
- العملاء
- هجمات الكترونية
- البيانات
- مركز البيانات
- قواعد البيانات
- التوصيل
- التطوير التجاري
- مختلف
- إفشاء
- اكتشاف
- منتجات الأبواب
- مشروع
- البيئات
- خاصة
- حتى
- تنفيذ
- موجود
- استغلال
- استغلال
- استغلال
- مآثر
- المفضلة—الحقيبة
- قم بتقديم
- إصلاحات
- في حالة
- سابقا
- دورة تأسيسية
- أربعة
- تبدأ من
- البواب
- كان
- الثابت
- يملك
- رئيس
- لكن
- HTML
- HTTPS
- مهجنة
- اي كون
- فورا
- in
- تتضمن
- بما فيه
- حقن
- إدخال
- تبصر
- مثل
- التكامل
- إلى
- قضية
- نشر
- IT
- انها
- JPG
- م
- معروف
- متأخر
- آخر
- المكتبة
- لينكدين:
- المدرج
- تسجيل الدخول
- ماك
- صانع
- القيام ب
- إدارة
- كتلة
- الرسالة
- شهر
- الأكثر من ذلك
- حركة
- متعدد
- ناسا
- جديد
- نيويورك
- نيويورك تايمز
- نوفمبر
- الآن
- شهر اكتوبر
- of
- on
- جاكيت
- في الأصل
- أخرى
- خارج
- صفحة
- الماضي
- بقعة
- بقع
- الترقيع
- رصف
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- اضغط لتتحدث
- الرائج
- قبل
- متميز
- فاتحة
- بسرعة
- الفدية
- عرض
- صدر
- عن بعد
- أظهرت
- توالت
- s
- نفسه
- أحرز هدفاً
- أمن
- الخادم
- الخدمة
- ينبغي
- تطبيقات الكمبيوتر
- تطوير البرمجيات
- شخص ما
- خيط
- لاحق
- المساحة
- نظام
- أنظمة
- الهدف
- قالب
- تميل
- من
- أن
- •
- نيو يورك تايمز
- هم
- التهديد
- الجهات التهديد
- مربوط
- الوقت
- مرات
- إلى
- أداة
- الثلاثاء
- تستخدم
- مستعمل
- مستخدم
- سهل حياتك
- الاستفادة من
- تشكيلة
- نقاط الضعف
- الضعف
- الضعيفة
- وكان
- طريق..
- على شبكة الإنترنت
- حسن
- كان
- التي
- بري
- مع
- في غضون
- حتى الآن
- نيويورك
- زفيرنت