Paigutage ASAP: Max-Critical Atlassiani viga lubab autentimata RCE-d

Maksimaalselt kriitiline autentimata koodi kaugkäitamise (RCE) haavatavus mõjutab Atlassian Confluence'i andmekeskust ja Confluence'i serverit kõigis enne 5. detsembrit välja antud versioonides. Patsimata organisatsioonid peaksid valmistuma kaitsma kõike alates lunavarakampaaniatest kuni küberspionaažikatseteni.

Viga (CVE-2023-22527), mille haavatavuse ja raskusastme reiting CVSS v10 skaalal on 10 3-st, on mallide sisestamise haavatavus, mis sillutab teed autentimata ründajatele RCE saavutamiseks versioonides 8.0.x, 8.1.x, 8.2.x, 8.3. x, 8.4.x ja 8.5.0 kuni 8.5.3.

Viga vaevab enamikku Confluence'i versioone

Iga organisatsioon, mis on versioonile üle läinud Ettevõtte detsembri värskenduses välja antud Confluence'i versioonid on selged, kuigi viga avalikustati just täna koos mitme vähem tõsise haavatavusega, mis on äsja parandatud värske turvateade.

Atlassian märkis, et mõjutatud on ka kasutusea lõppenud eksemplarid (versioon 8.4.5 ja varasemad) ning need ei saa plaastreid.

Leevendusi ega lahendusi pole saadaval, seega peaksid administraatorid rakendama viimase kuu uusimaid versioone, et olla täielikult kaitstud, isegi kui nende Confluence'i versioonid pole Internetis kättesaadavad. Pilve eksemplare ei mõjuta.

Neile, kes ei saa kohe oma Confluence'i andmekeskuse ja serveri eksemplare parandada, soovitab Atlassian eemaldada oma süsteemid Internetist ja varundada oma andmed väljaspool Confluence'i keskkonda.

Atlassiani CVE-2023-22527 rünnakud võivad olla laiaulatuslikud

Ettevõte soovitas ka jälgida võimalikku pahatahtlikku tegevust (loomulikult), kuid märkis oma turvanõuanne teemal CVE-2024-22527 et "mitme sisenemispunkti võimalus koos aheldatud rünnakutega muudab keeruliseks kõigi võimalike kompromissinäitajate loetlemise."

Administraatorid peaksid arvestama: Atlassian Confluence'i vead on üldiselt populaarne küberkuritegevuse ringis, arvestades, et platvorm ulatub sügavale võrgukeskkondadesse, mida kasutatakse ettevõtetevaheliseks koostööks, töövoo ja tarkvara arendamiseks. Teine 10 kriitilist viga novembris 10-st oli mõne päeva jooksul pärast avalikustamist täis ekspluateerimiskatseid ja tõenäoliselt kehtib sama ka selle puhul, kui minevik on proloog; koos Atlassian, see tavaliselt on.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/application-security/patch-max-critical-atlassian-bug-unauthenticated-rce