Pach Now: kriitilised Atlassiani vead ohustavad ettevõtte rakendusi

Pach Now: kriitilised Atlassiani vead ohustavad ettevõtte rakendusi

Ajatempel: 6. detsember 2023 kell 5:56
Paigutage kohe: kriitilised Atlassi vead ohustavad ettevõtte rakendusi PlatoBlockchaini andmeluure. Vertikaalne otsing. Ai.

On aeg uuesti lappida: Atlassiani tarkvara neli kriitilist turvanõrkust avavad ukse koodi kaugkäivitamisele (RCE) ja sellele järgnevale külgsuunalisele liikumisele ettevõtte keskkondades. Need on vaid viimased vead, mis on viimasel ajal esile kerkinud tarkvaratootja koostöös ja DevOpsi platvormidel, mis kipuvad olema küberründajate lemmiksihtmärgiks.

Turvaaukud, mille jaoks Atlassian teisipäeval parandusi välja andis, on järgmised:

  • CVE-2022-1471 (CVSS-i haavatavuse raskusastme skoor 9.8 10-st): Deserialiseerimine SnakeYAML raamatukogu, mis mõjutab mitut Atlassiani tarkvaraplatvormi.

  • CVE-2023-22522 (CVSS 9): autentitud malli sisestamise haavatavus, mis mõjutab Confluence'i serverit ja andmekeskust. Atlassiani andmetel võib keegi, kes on süsteemi sisse logitud, isegi anonüümselt, sisestada Confluence'i lehele ebaturvalise kasutaja sisendi ja saavutada RCE.

  • CVE-2023-22523 (CVSS 9.8): privilegeeritud RCE Assets Discovery võrguskannimise tööriistas Jira Service Management pilve, serveri ja andmekeskuse jaoks. Atlassiani nõuande kohaselt on haavatavus Assets Discovery rakenduse (varem tuntud kui Insight Discovery) ja Assets Discovery agendi vahel.

  • CVE-2023-22524 (CVSS 9.6): RCE macOS-i rakenduses Atlassian Companion, mida kasutatakse failide redigeerimiseks Confluence'i andmekeskuses ja serveris. "Ründaja võib kasutada WebSocketsi, et mööda minna Atlassian Companioni blokeerimisloendist ja MacOS Gatekeeperist, et võimaldada koodi käivitamist," seisis nõuandes.

Atlassian Bugs on küberründajate jaoks kassnipp

Viimased nõuanded tulevad kõvasti vastu Atlassiani vigade avalikustamisele, mis on seotud nii nullpäeva kui ka pärast paiga ärakasutamisega.

Atlassiani tarkvara on ohus osalejate jaoks populaarne sihtmärk, eriti Confluence, mis on populaarne veebipõhine ettevõtte viki, mida kasutatakse koostööks pilve- ja hübriidserverikeskkondades. See võimaldab ühe klõpsuga ühenduse luua mitmesuguste erinevate andmebaasidega, muutes selle ründajate jaoks kasulikuks. Confluence'i kasutab üle 60,000 XNUMX kliendi, sealhulgas LinkedIn, NASA ja New York Times.

Kui minevik on proloog, peaksid administraatorid viivitamatult parandama uusimad vead. Näiteks oktoobris võttis tarkvarafirma Confluence'i andmekeskuses ja serveris (CVE-10-2023) välja turbeparandused maksimaalse tõsidusega RCE-vea (CVSS 22515) jaoks, mida kasutas enne paikamist ära Hiina rahastatud arenenud püsiv oht (APT), mida jälgitakse kui Storm-0062. Pärast avalikustamist tekkis selle jaoks kiiresti ka rida kontseptsiooni tõestavaid ärakasutusi, sillutades teed massilise ekspluateerimise katsetele.

Varsti pärast seda, novembris, tõstis Confluence'i andmekeskuses ja serveris pead järjekordne RCE viga, mida kasutati looduses nullpäevana ja mille CVSS skoor oli algselt 9.1. Pärast plaastrite väljaandmist on aga palju aktiivset lunavara ja muid küberrünnakuid ajendas Atlassiani tõstma raskusastme 10-ni.

Samal kuul paljastas Atlassian, et Bamboo pidev integreerimine (CI) ja pidev tarnimine (CD) Tarkvaraarenduse server, samuti Confluence'i andmekeskus ja server olid mõlemad haavatavad järjekordse maksimaalse tõsidusega probleemi ees – seekord Apache Software Foundationi (ASF) puhul. ActiveMQ sõnumimaakler (CVE-2023-46604, CVSS 10). Viga, mis oli relvastatud kui "n-päevane" viga, varustati kiiresti ka PoC kasutuskoodiga, mis võimaldas kaugründajal mõjutatud süsteemides suvalisi käske täita. Atlassian on mõlema platvormi jaoks välja andnud parandused.

Ajatempel:

Veel alates Tume lugemine