Det er tid til at lappe igen: Fire kritiske sikkerhedssårbarheder i Atlassian-software åbner døren til fjernudførelse af kode (RCE) og efterfølgende lateral bevægelse i virksomhedsmiljøer. De er blot de seneste fejl, der er dukket op på det seneste i softwareproducentens samarbejde og DevOps-platforme, som plejer at være et yndet mål for cyberangribere.
Sårbarhederne, som Atlassian udstedte rettelser til tirsdag, inkluderer:
-
CVE-2022-1471 (CVSS sårbarhedsscore på 9.8 ud af 10): Deserialisering i SnakeYAML bibliotek, der påvirker flere Atlassian-softwareplatforme.
-
CVE-2023-22522 (CVSS 9): Autentificeret skabeloninjektionssårbarhed, der påvirker Confluence Server og Data Center. En person, der er logget ind på systemet, selv anonymt, kan injicere usikkert brugerinput på en Confluence-side og opnå RCE, ifølge Atlassian.
-
CVE-2023-22523 (CVSS 9.8): Privilegeret RCE i Assets Discovery-netværksscanningsværktøjet til Jira Service Management Cloud, Server og Data Center. Ifølge Atlassians rådgivning, "Sårbarheden eksisterer mellem Assets Discovery-applikationen (tidligere kendt som Insight Discovery) og Assets Discovery-agenten."
-
CVE-2023-22524 (CVSS 9.6): RCE i Atlassian Companion-appen til macOS, som bruges til filredigering i Confluence Data Center og Server. "En angriber kunne bruge WebSockets til at omgå Atlassian Companions blokeringsliste og MacOS Gatekeeper for at tillade eksekvering af kode," lød meddelelsen.
Atlassian Bugs er katteurt for cyberangribere
De seneste meddelelser kommer hårdt i hælene på en stribe afsløringer af fejl fra Atlassian, som har været bundet til både zero-day og post-patch-udnyttelse.
Atlassian-software er et populært mål for trusselsaktører, især Confluence, som er en populær webbaseret virksomhedswiki, der bruges til samarbejde i cloud- og hybridservermiljøer. Det tillader et-klik-forbindelser til en række forskellige databaser, hvilket gør dets nytte for angribere nonpareil. Mere end 60,000 kunder bruger Confluence, herunder LinkedIn, NASA og New York Times.
Hvis fortid er prolog, bør administratorer rette de seneste fejl med det samme. I oktober udrullede softwarefirmaet f.eks. sikkerhedsrettelser til en max-severity RCE-fejl (CVSS 10) i Confluence Data Center and Server (CVE-2023-22515), som var blevet udnyttet inden patching af en Kina-sponsoreret avanceret vedvarende trussel (APT) sporet som Storm-0062. En række proof-of-concept-udnyttelser dukkede også hurtigt op for det efter afsløringen, hvilket banede vejen for masseudbytningsforsøg.
Hurtigt efter, i november, rejste en anden RCE-fejl hovedet i Confluence Data Center og Server, der var blevet udnyttet som en nul-dag i naturen, oprindeligt opført med en 9.1 CVSS-score. Men en mængde aktiv ransomware og andre cyberangreb efter patches blev frigivet fik Atlassian til at øge sværhedsgraden til 10.
Samme måned afslørede Atlassian, at bambus kontinuerlig integration (CI) og kontinuerlig levering (CD) server til softwareudvikling, såvel som Confluence Data Center og Server, var begge sårbare over for endnu et problem med maksimal alvorlighed - denne gang i Apache Software Foundation's (ASF) ActiveMQ-meddelelsesmægler (CVE-2023-46604, CVSS 10). Fejlen, som blev våbenet som en "n-dag" fejl, blev også hurtigt udstyret med PoC-udnyttelseskode, hvilket gjorde det muligt for en fjernangriber at udføre vilkårlige kommandoer på berørte systemer. Atlassian har udgivet rettelser til begge platforme.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- :har
- :er
- $OP
- 000
- 000 kunder
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- Ifølge
- opnå
- aktiv
- aktører
- fremskreden
- rådgivende
- påvirket
- påvirker
- Efter
- igen
- Agent
- tillade
- tillade
- tillader
- også
- an
- ,
- anonymt
- En anden
- Apache
- app
- Anvendelse
- apps
- APT
- ER
- AS
- ASF
- Aktiver
- Forsøg på
- autentificeret
- Bamboo
- BE
- været
- mellem
- både
- mægler
- Bug
- bugs
- by
- CAN
- CD
- center
- Circle
- Cloud
- kode
- samarbejde
- Kom
- følgesvend
- selskab
- sammenløbet
- Tilslutninger
- kontinuerlig
- Corporate
- kunne
- kritisk
- Kunder
- cyberangreb
- data
- Data Center
- databaser
- levering
- Udvikling
- forskellige
- videregivelse
- opdagelse
- Ved
- Enterprise
- miljøer
- især
- Endog
- udføre
- udførelse
- eksisterer
- Exploit
- udnyttelse
- Exploited
- exploits
- Favorit
- File (Felt)
- fast
- Til
- tidligere
- Foundation
- fire
- fra
- Gatekeeper
- havde
- Hård Ost
- Have
- hoved
- Men
- HTML
- HTTPS
- Hybrid
- ICON
- straks
- in
- omfatter
- Herunder
- injicerbar
- indgang
- indsigt
- instans
- integration
- ind
- spørgsmål
- Udstedt
- IT
- ITS
- jpg
- lige
- kendt
- Sent
- seneste
- Bibliotek
- Børsnoterede
- logget
- MacOS
- maker
- Making
- ledelse
- Masse
- besked
- Måned
- mere
- bevægelse
- flere
- Nasa
- Ny
- New York
- New York Times
- november
- nu
- oktober
- of
- on
- åbent
- oprindeligt
- Andet
- ud
- side
- forbi
- patch
- Patches
- lappe
- Bane
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- PoC
- Populær
- Forud
- privilegeret
- Prologue
- hurtigt
- ransomware
- Læs
- frigivet
- fjern
- Revealed
- Rullet
- s
- samme
- score
- sikkerhed
- server
- tjeneste
- bør
- Software
- softwareudvikling
- Nogen
- String
- efterfølgende
- overflade
- systemet
- Systemer
- mål
- skabelon
- tendens
- end
- at
- The New York Times
- de
- denne
- trussel
- trusselsaktører
- Tied
- tid
- gange
- til
- værktøj
- Tirsdag
- brug
- anvendte
- Bruger
- nytte
- udnytte
- række
- Sårbarheder
- sårbarhed
- Sårbar
- var
- Vej..
- web-baseret
- GODT
- var
- som
- Wild
- med
- inden for
- endnu
- york
- zephyrnet
