Ήρθε η ώρα να επιδιορθώσετε ξανά: Τέσσερα κρίσιμα τρωτά σημεία ασφαλείας στο λογισμικό Atlassian ανοίγουν την πόρτα στην απομακρυσμένη εκτέλεση κώδικα (RCE) και στην επακόλουθη πλευρική μετακίνηση σε εταιρικά περιβάλλοντα. Είναι απλώς τα πιο πρόσφατα σφάλματα που εμφανίστηκαν τελευταία στη συνεργασία του κατασκευαστή λογισμικού και τις πλατφόρμες DevOps, οι οποίες τείνουν να αποτελούν αγαπημένο στόχο για κυβερνοεπιθέσεις.
Τα τρωτά σημεία, τα οποία επιδιορθώνει η Atlassian την Τρίτη, περιλαμβάνουν:
-
CVE-2022-1471 (Βαθμολογία σοβαρότητας ευπάθειας CVSS 9.8 στα 10): Η αποζωνοποίηση στο SnakeYAML βιβλιοθήκη, επηρεάζοντας πολλαπλές πλατφόρμες λογισμικού Atlassian.
-
CVE-2023-22522 (CVSS 9): Ευπάθεια έγχυσης επαληθευμένου προτύπου που επηρεάζει το Confluence Server και το Data Center. Κάποιος που είναι συνδεδεμένος στο σύστημα, ακόμη και ανώνυμα, μπορεί να εισάγει μη ασφαλή είσοδο χρήστη σε μια σελίδα Confluence και να επιτύχει RCE, σύμφωνα με την Atlassian.
-
CVE-2023-22523 (CVSS 9.8): Προνομιακό RCE στο εργαλείο σάρωσης δικτύου Assets Discovery για το Jira Service Management Cloud, τον διακομιστή και το Data Center. Σύμφωνα με τη συμβουλή του Atlassian, «Η ευπάθεια υπάρχει μεταξύ της εφαρμογής Assets Discovery (παλαιότερα γνωστή ως Insight Discovery) και του πράκτορα Assets Discovery».
-
CVE-2023-22524 (CVSS 9.6): RCE στην εφαρμογή Atlassian Companion για macOS, η οποία χρησιμοποιείται για την επεξεργασία αρχείων στο Confluence Data Center και στο διακομιστή. «Ένας εισβολέας θα μπορούσε να χρησιμοποιήσει το WebSockets για να παρακάμψει τη λίστα αποκλεισμού του Atlassian Companion και το MacOS Gatekeeper για να επιτρέψει την εκτέλεση του κώδικα», αναφέρεται στη συμβουλευτική.
Τα Atlassian Bugs είναι Catnip για τους Cyberattackers
Οι πιο πρόσφατες συμβουλές έρχονται δύσκολες μετά από μια σειρά αποκαλύψεων σφαλμάτων από την Atlassian, τα οποία έχουν συνδεθεί τόσο με την εκμετάλλευση zero-day όσο και με την μετά την ενημέρωση κώδικα.
Το λογισμικό Atlassian είναι ένας δημοφιλής στόχος για τους παράγοντες απειλών, ειδικά το Confluence, το οποίο είναι ένα δημοφιλές εταιρικό wiki βασισμένο στο Web που χρησιμοποιείται για συνεργασία σε περιβάλλοντα cloud και υβριδικών διακομιστών. Επιτρέπει συνδέσεις με ένα κλικ σε μια ποικιλία διαφορετικών βάσεων δεδομένων, καθιστώντας τη χρησιμότητά του για τους επιτιθέμενους μη παρόμοιο. Περισσότεροι από 60,000 πελάτες χρησιμοποιούν το Confluence, συμπεριλαμβανομένων των LinkedIn, NASA και New York Times.
Εάν το παρελθόν είναι πρόλογος, οι διαχειριστές θα πρέπει να επιδιορθώσουν αμέσως τα πιο πρόσφατα σφάλματα. Τον Οκτώβριο, για παράδειγμα, η εταιρεία λογισμικού παρουσίασε επιδιορθώσεις ασφαλείας για ένα bug RCE μέγιστης σοβαρότητας (CVSS 10) στο Confluence Data Center and Server (CVE-2023-22515), το οποίο είχε αξιοποιηθεί πριν από την ενημέρωση κώδικα από Προηγμένη επίμονη απειλή (APT) που υποστηρίζεται από την Κίνα, παρακολουθείται ως Storm-0062. Μια σειρά από κατορθώματα απόδειξης της ιδέας εμφανίστηκε επίσης γρήγορα μετά την αποκάλυψη, ανοίγοντας το δρόμο για προσπάθειες μαζικής εκμετάλλευσης.
Αμέσως μετά, τον Νοέμβριο, ένα άλλο σφάλμα RCE εμφανίστηκε στο Confluence Data Center and Server το οποίο είχε εκμεταλλευτεί ως zero-day in the wild, αρχικά καταχωρημένο με βαθμολογία CVSS 9.1. Ωστόσο, μια πληθώρα ενεργών ransomware και άλλων κυβερνοεπιθέσεων μετά την κυκλοφορία των ενημερώσεων κώδικα ώθησε τον Atlassian να ανεβάσει τον βαθμό σοβαρότητας στο 10.
Τον ίδιο μήνα, ο Atlassian αποκάλυψε ότι το Bamboo συνεχής ενοποίηση (CI) και συνεχής παράδοση (CD) ο διακομιστής για ανάπτυξη λογισμικού, καθώς και το Confluence Data Center και ο διακομιστής, ήταν και οι δύο ευάλωτοι σε ένα ακόμη ζήτημα μέγιστης σοβαρότητας — αυτή τη φορά στο Apache Software Foundation (ASF) Μεσίτης μηνυμάτων ActiveMQ (CVE-2023-46604, CVSS 10). Το σφάλμα, το οποίο οπλίστηκε ως Σφάλμα "n-day"., εφοδιάστηκε επίσης γρήγορα με κώδικα εκμετάλλευσης PoC, επιτρέποντας σε έναν απομακρυσμένο εισβολέα να εκτελεί αυθαίρετες εντολές στα επηρεαζόμενα συστήματα. Η Atlassian κυκλοφόρησε διορθώσεις και για τις δύο πλατφόρμες.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- :έχει
- :είναι
- $UP
- 000
- 000 Πελάτες
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- Σύμφωνα με
- Κατορθώνω
- ενεργός
- φορείς
- προηγμένες
- συμβουλευτικός
- επηρεαστούν
- συγκινητικός
- Μετά το
- πάλι
- Πράκτορας
- επιτρέπουν
- Επιτρέποντας
- επιτρέπει
- Επίσης
- an
- και
- Ανώνυμα
- Άλλος
- Apache
- app
- Εφαρμογή
- εφαρμογές
- APT
- ΕΙΝΑΙ
- AS
- ASF
- Ενεργητικό
- Προσπάθειες
- επικυρωμένο
- Μπαμπού
- BE
- ήταν
- μεταξύ
- και οι δύο
- μεσίτης
- Έντομο
- σφάλματα
- by
- CAN
- CD
- Κέντρο
- Κύκλος
- Backup
- κωδικός
- συνεργασία
- Ελάτε
- companion
- εταίρα
- συμβολή
- Διασυνδέσεις
- συνεχής
- Εταιρικές εκδηλώσεις
- θα μπορούσε να
- κρίσιμης
- Πελάτες
- cyberattacks
- ημερομηνία
- Κέντρο δεδομένων
- βάσεις δεδομένων
- διανομή
- Ανάπτυξη
- διαφορετικές
- αποκάλυψη
- ανακάλυψη
- Θύρα
- Εταιρεία
- περιβάλλοντα
- ειδικά
- Even
- εκτελέσει
- εκτέλεση
- υπάρχει
- Εκμεταλλεύομαι
- εκμετάλλευση
- Κακοποιημένα
- εκμεταλλεύεται
- Αγαπημένα
- Αρχεία
- διορθώσεις
- Για
- προηγουμένως
- Θεμέλιο
- τέσσερα
- από
- φύλακα
- είχε
- Σκληρά
- Έχω
- κεφάλι
- Ωστόσο
- HTML
- HTTPS
- Υβριδικό
- ICON
- αμέσως
- in
- περιλαμβάνουν
- Συμπεριλαμβανομένου
- κάνω ένεση
- εισαγωγή
- διορατικότητα
- παράδειγμα
- ολοκλήρωση
- σε
- ζήτημα
- Εκδόθηκε
- IT
- ΤΟΥ
- jpg
- μόλις
- γνωστός
- Αργά
- αργότερο
- Βιβλιοθήκη
- Εισηγμένες
- καταγραφεί
- MacOS
- κατασκευαστής
- Κατασκευή
- διαχείριση
- Μάζα
- μήνυμα
- Μηνας
- περισσότερο
- κίνηση
- πολλαπλούς
- Nasa
- Νέα
- Νέα Υόρκη
- New York Times
- Νοέμβριος
- τώρα
- Οκτώβριος
- of
- on
- ανοίξτε
- αρχικά
- ΑΛΛΑ
- έξω
- σελίδα
- Το παρελθόν
- Patch
- Patches
- Διόρθωση
- Λιθόστρωση
- Πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- PoC
- Δημοφιλής
- Πριν
- προνομιούχος
- Πρόλογος
- γρήγορα
- ransomware
- Διάβασε
- κυκλοφόρησε
- μακρινός
- Αποκαλυφθε'ντα
- Έλασης
- s
- ίδιο
- σκορ
- ασφάλεια
- διακομιστής
- υπηρεσία
- θα πρέπει να
- λογισμικό
- ανάπτυξη λογισμικού
- Κάποιος
- Σπάγγος
- μεταγενέστερος
- Επιφάνεια
- σύστημα
- συστήματα
- στόχος
- πρότυπο
- Τείνουν
- από
- ότι
- Η
- Οι Νιου Γιορκ Ταιμς
- αυτοί
- αυτό
- απειλή
- απειλή
- Δεμένος
- ώρα
- φορές
- προς την
- εργαλείο
- Τρίτη
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμότητα
- χρησιμοποιώ
- ποικιλία
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- ήταν
- Τρόπος..
- Web-based
- ΛΟΙΠΌΝ
- ήταν
- Ποιό
- Άγριος
- με
- εντός
- ακόμη
- Υόρκη
- zephyrnet