এখন প্যাচ করুন: জটিল আটলাসিয়ান বাগস বিপদজনক এন্টারপ্রাইজ অ্যাপস

এখন প্যাচ করুন: জটিল আটলাসিয়ান বাগস বিপদজনক এন্টারপ্রাইজ অ্যাপস

সময় স্ট্যাম্প: 6 ডিসেম্বর, 2023 5:56 অপরাহ্ন
এখন প্যাচ করুন: ক্রিটিক্যাল অ্যাটলাসিয়ান বাগস বিপদজনক এন্টারপ্রাইজ অ্যাপস প্লাটোব্লকচেন ডেটা ইন্টেলিজেন্স। উল্লম্ব অনুসন্ধান. আ.

এটি আবার প্যাচ করার সময়: আটলাসিয়ান সফ্টওয়্যারের চারটি গুরুত্বপূর্ণ নিরাপত্তা দুর্বলতা রিমোট কোড এক্সিকিউশন (RCE) এবং পরবর্তীতে এন্টারপ্রাইজ পরিবেশের মধ্যে পার্শ্বীয় আন্দোলনের দরজা খুলে দেয়। সফ্টওয়্যার প্রস্তুতকারকের সহযোগিতা এবং DevOps প্ল্যাটফর্মের দেরীতে তারা সাম্প্রতিকতম বাগ, যা সাইবার আক্রমণকারীদের জন্য একটি প্রিয় লক্ষ্য হতে থাকে।

মঙ্গলবারের জন্য আটলাসিয়ান সংশোধন জারি করা দুর্বলতাগুলির মধ্যে রয়েছে:

  • জন্য CVE-2022-1471 (CVSS দুর্বলতার তীব্রতা স্কোর 9.8 এর মধ্যে 10): ডিসিরিয়ালাইজেশন SnakeYAML লাইব্রেরি, একাধিক আটলাসিয়ান সফ্টওয়্যার প্ল্যাটফর্মকে প্রভাবিত করে।

  • জন্য CVE-2023-22522 (CVSS 9): কনফ্লুয়েন্স সার্ভার এবং ডেটা সেন্টারকে প্রভাবিত করে প্রমাণীকৃত টেমপ্লেট ইনজেকশন দুর্বলতা। কেউ সিস্টেমে লগ ইন করেছে, এমনকি বেনামেও, একটি কনফ্লুয়েন্স পৃষ্ঠায় অনিরাপদ ব্যবহারকারী ইনপুট ইনজেকশন করতে পারে এবং অ্যাটলাসিয়ানের মতে RCE অর্জন করতে পারে।

  • জন্য CVE-2023-22523 (CVSS 9.8): জিরা সার্ভিস ম্যানেজমেন্ট ক্লাউড, সার্ভার এবং ডেটা সেন্টারের জন্য অ্যাসেট ডিসকভারি নেটওয়ার্ক-স্ক্যানিং টুলে বিশেষ সুবিধাপ্রাপ্ত RCE। অ্যাটলাসিয়ানের পরামর্শ অনুসারে, "সম্পদ আবিষ্কারের অ্যাপ্লিকেশন (পূর্বে ইনসাইট ডিসকভারি নামে পরিচিত) এবং সম্পদ আবিষ্কার এজেন্টের মধ্যে দুর্বলতা বিদ্যমান।"

  • জন্য CVE-2023-22524 (CVSS 9.6): MacOS-এর জন্য Atlassian Companion অ্যাপে RCE, যা কনফ্লুয়েন্স ডেটা সেন্টার এবং সার্ভারে ফাইল সম্পাদনার জন্য ব্যবহৃত হয়। "কোড কার্যকর করার অনুমতি দেওয়ার জন্য একজন আক্রমণকারী Atlassian Companion-এর ব্লকলিস্ট এবং MacOS গেটকিপারকে বাইপাস করার জন্য WebSockets ব্যবহার করতে পারে," অ্যাডভাইজরিতে লেখা হয়েছে৷

অ্যাটলাসিয়ান বাগগুলি সাইবার আক্রমণকারীদের কাছে ক্যাটনিপ

সাম্প্রতিক উপদেশগুলি আটলাসিয়ান থেকে বাগ প্রকাশের একটি স্ট্রিং এর হিলের উপর কঠিন আসে, যা শূন্য-দিন এবং পোস্ট-প্যাচ শোষণের সাথে আবদ্ধ করা হয়েছে।

অ্যাটলাসিয়ান সফ্টওয়্যার হুমকি অভিনেতাদের জন্য একটি জনপ্রিয় লক্ষ্য, বিশেষ করে কনফ্লুয়েন্স, যা একটি জনপ্রিয় ওয়েব-ভিত্তিক কর্পোরেট উইকি যা ক্লাউড এবং হাইব্রিড সার্ভার পরিবেশে সহযোগিতার জন্য ব্যবহৃত হয়। এটি বিভিন্ন ডাটাবেসের সাথে এক-ক্লিক সংযোগের অনুমতি দেয়, যা আক্রমণকারীদের জন্য এর উপযোগিতা করে না। LinkedIn, NASA, এবং New York Times সহ 60,000 এরও বেশি গ্রাহক কনফ্লুয়েন্স ব্যবহার করেন।

অতীত প্রলোগ হলে, প্রশাসকদের অবিলম্বে সাম্প্রতিক বাগগুলি প্যাচ করা উচিত। অক্টোবরে, উদাহরণস্বরূপ, সফ্টওয়্যার কোম্পানি কনফ্লুয়েন্স ডেটা সেন্টার এবং সার্ভারে (CVE-10-2023) সর্বাধিক-তীব্রতার RCE বাগ (CVSS 22515) এর জন্য সুরক্ষা সংশোধন করেছে, যা একটি দ্বারা প্যাচ করার আগে শোষণ করা হয়েছিল। চীন-স্পন্সরড অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (এপিটি) স্টর্ম-০০৬২ হিসেবে ট্র্যাক করা হয়েছে. প্রুফ-অফ-কনসেপ্ট শোষণের একটি স্ট্রিংও প্রকাশের পরে এটির জন্য দ্রুত ক্রপ করে, ব্যাপক শোষণের প্রচেষ্টার পথ প্রশস্ত করে।

এর পরপরই, নভেম্বরে, আরেকটি RCE বাগ কনফ্লুয়েন্স ডেটা সেন্টার এবং সার্ভারে মাথা তুলেছিল যেটিকে বন্যের মধ্যে শূন্য-দিন হিসাবে ব্যবহার করা হয়েছিল, মূলত একটি 9.1 CVSS স্কোর সহ তালিকাভুক্ত। যাইহোক, প্যাচগুলি প্রকাশের পরে সক্রিয় র্যানসমওয়্যার এবং অন্যান্য সাইবার আক্রমণের একটি আধিক্য অ্যাটলাসিয়ানকে তীব্রতা স্কোর 10-এ উন্নীত করতে প্ররোচিত করে.

একই মাসে, আটলাসিয়ান বাঁশ প্রকাশ করে একটানা ইন্টিগ্রেশন (CI) এবং একটানা ডেলিভারি (CD) সফ্টওয়্যার ডেভেলপমেন্টের সার্ভার, সেইসাথে কনফ্লুয়েন্স ডেটা সেন্টার এবং সার্ভার, উভয়ই আরও একটি সর্বোচ্চ-তীব্রতার সমস্যার জন্য ঝুঁকিপূর্ণ ছিল - এইবার অ্যাপাচি সফ্টওয়্যার ফাউন্ডেশনের (ASF) ActiveMQ বার্তা ব্রোকার (CVE-2023-46604, CVSS 10). বাগ, যা একটি হিসাবে weaponized ছিল "n-দিন" বাগ,কে দ্রুত PoC এক্সপ্লয়েট কোড দিয়ে সজ্জিত করা হয়েছিল, যা একটি দূরবর্তী আক্রমণকারীকে প্রভাবিত সিস্টেমে নির্বিচারে আদেশ চালানোর অনুমতি দেয়। Atlassian উভয় প্ল্যাটফর্মের জন্য ফিক্স প্রকাশ করেছে.

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া