Μια ευπάθεια μέγιστης σημασίας μη επαληθευμένης εκτέλεσης απομακρυσμένου κώδικα (RCE) επηρεάζει το Atlassian Confluence Data Center και το Confluence Server, σε όλες τις εκδόσεις που κυκλοφόρησαν πριν από τις 5 Δεκεμβρίου. Οι μη επιδιορθωμένοι οργανισμοί θα πρέπει να προετοιμαστούν για να αμυνθούν ενάντια σε οτιδήποτε, από καμπάνιες ransomware έως απόπειρες κυβερνοκατασκοπείας.
το ζωύφιο (CVE-2023-22527), το οποίο φέρει βαθμολογία ευπάθειας-σοβαρότητας 10 στα 10 στην κλίμακα CVSS v3, είναι μια ευπάθεια έγχυσης προτύπου που ανοίγει το δρόμο για τους εισβολείς χωρίς έλεγχο ταυτότητας να επιτύχουν RCE στις εκδόσεις 8.0.x, 8.1.x, 8.2.x, 8.3. x, 8.4.x και 8.5.0 έως 8.5.3.
Το Bug Plagues στις περισσότερες εκδόσεις του Confluence
Οποιοσδήποτε οργανισμός έχει αναβαθμιστεί σε Εκδόσεις Confluence που κυκλοφόρησαν στην ενημέρωση Δεκεμβρίου της εταιρείας είναι ξεκάθαρα, αν και το σφάλμα αποκαλύφθηκε μόλις σήμερα, μαζί με αρκετά λιγότερο σοβαρά τρωτά σημεία που επιδιορθώθηκαν πρόσφατα ένα νέο δελτίο ασφαλείας.
Ο Atlassian σημείωσε ότι οι περιπτώσεις στο τέλος του κύκλου ζωής (έκδοση 8.4.5 και παλαιότερες) επηρεάζονται επίσης και δεν θα λάβουν ενημερώσεις κώδικα.
Δεν υπάρχουν διαθέσιμα μέτρα μετριασμού ή λύσεις, επομένως οι διαχειριστές θα πρέπει να εφαρμόζουν τις πιο πρόσφατες εκδόσεις του προηγούμενου μήνα για να είναι πλήρως προστατευμένοι, ακόμα κι αν οι εκδόσεις του Confluence δεν είναι εκτεθειμένες στο Διαδίκτυο. Οι περιπτώσεις cloud δεν επηρεάζονται.
Για όσους δεν μπορούν να επιδιορθώσουν αμέσως τις παρουσίες του Κέντρου δεδομένων Confluence και του διακομιστή, η Atlassian συνιστά να αφαιρέσουν τα συστήματά τους από το Διαδίκτυο και να δημιουργήσουν αντίγραφα ασφαλείας των δεδομένων τους εκτός του περιβάλλοντος Confluence.
Οι επιθέσεις Atlassian CVE-2023-22527 θα μπορούσαν να είναι ευρείας εμβέλειας
Η εταιρεία πρότεινε επίσης παρακολούθηση για οποιαδήποτε πιθανή κακόβουλη δραστηριότητα (φυσικά) αλλά σημειώνεται σε αυτήν συμβουλή ασφαλείας στο CVE-2024-22527 ότι «η πιθανότητα πολλαπλών σημείων εισόδου, μαζί με αλυσιδωμένες επιθέσεις, καθιστά δύσκολη την απαρίθμηση όλων των πιθανών δεικτών συμβιβασμού».
Οι διαχειριστές πρέπει να λάβουν υπόψη: τα σφάλματα Atlassian Confluence είναι γενικά δημοφιλής στο κύκλωμα του εγκλήματος στον κυβερνοχώρο, δεδομένου ότι η πλατφόρμα εισχωρεί βαθιά σε περιβάλλοντα δικτύου, που χρησιμοποιούνται για συνεργασία μεταξύ επιχειρήσεων, ροή εργασιών και ανάπτυξη λογισμικού. Αλλο 10-στα-10 κρίσιμο σφάλμα τον Νοέμβριο κατακλύστηκε από απόπειρες εκμετάλλευσης μέσα σε λίγες μέρες από την αποκάλυψή του, και είναι πιθανό το ίδιο να ισχύει και για αυτήν αν το παρελθόν είναι πρόλογος. με Ατλασιανό, συνήθως είναι.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/patch-max-critical-atlassian-bug-unauthenticated-rce
- :έχει
- :είναι
- :δεν
- $UP
- 1
- 10
- 8
- a
- Κατορθώνω
- δραστηριότητα
- συμβουλευτικός
- επηρεαστούν
- κατά
- Όλα
- επιτρέπει
- κατά μήκος
- Επίσης
- και
- Άλλος
- κάθε
- Εφαρμογή
- ΕΙΝΑΙ
- Επιθέσεις
- Προσπάθειες
- διαθέσιμος
- πίσω
- BE
- πριν
- Έντομο
- σφάλματα
- αλλά
- Καμπάνιες
- CAN
- Κέντρο
- αλυσίδα
- καθαρός
- Backup
- κωδικός
- συνεργασία
- εταίρα
- συμβιβασμός
- συμβολή
- θα μπορούσε να
- κρίσιμης
- εγκλήματος στον κυβερνοχώρο
- ημερομηνία
- Κέντρο δεδομένων
- Ημ.
- Δεκέμβριος
- Δεκέμβριος
- βαθύς
- Ανάπτυξη
- δύσκολος
- αποκάλυψη
- καταχώριση
- Περιβάλλον
- περιβάλλοντα
- Even
- πάντα
- εκτέλεση
- εκμετάλλευση
- εκτεθειμένος
- Για
- φρέσκο
- από
- πλήρως
- δεδομένου
- κρατήστε
- HTML
- HTTPS
- if
- αμέσως
- επιπτώσεις
- in
- δείκτες
- Internet
- σε
- IT
- ΤΟΥ
- jpg
- μόλις
- Επίθετο
- αργότερο
- Πιθανός
- Λιστα
- ΚΑΝΕΙ
- κακόβουλο
- παρακολούθηση
- Μηνας
- πλέον
- πολλαπλούς
- δίκτυο
- πρόσφατα
- Όχι.
- σημείωση
- Σημειώνεται
- of
- on
- ONE
- or
- επιχειρήσεις
- οργανώσεις
- έξω
- εκτός
- Το παρελθόν
- Patch
- Patches
- πλακόστρωτα
- Πληγές
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σημεία
- Δημοφιλής
- δυνατότητα
- δυνατός
- δυναμικού
- Προετοιμάστε
- Πρόλογος
- προστατεύονται
- ransomware
- εκτίμηση
- Φτάνει
- λαμβάνω
- συνιστά
- κυκλοφόρησε
- μακρινός
- αφαιρέστε
- s
- ίδιο
- Κλίμακα
- ασφάλεια
- διακομιστής
- διάφοροι
- θα πρέπει να
- So
- λογισμικό
- ανάπτυξη λογισμικού
- συστήματα
- Πάρτε
- πρότυπο
- ότι
- Η
- τους
- αυτοί
- αυτό
- εκείνοι
- αν και?
- Μέσω
- προς την
- σήμερα
- αληθής
- ανεπηρέαστος
- αναβαθμιστεί
- μεταχειρισμένος
- συνήθως
- εκδοχή
- εκδόσεις
- Θέματα ευπάθειας
- ευπάθεια
- ήταν
- Τρόπος..
- Ποιό
- Ο ΟΠΟΊΟΣ
- θα
- με
- εντός
- ροής εργασίας
- X
- zephyrnet