زمان آن است که دوباره وصله کنیم: چهار آسیب پذیری امنیتی حیاتی در نرم افزار Atlassian راه را برای اجرای کد از راه دور (RCE) و حرکت جانبی بعدی در محیط های سازمانی باز می کند. آنها فقط آخرین اشکالاتی هستند که اخیراً در همکاری سازنده نرم افزار و پلتفرم های DevOps ظاهر شده اند، که معمولاً هدف مورد علاقه مهاجمان سایبری هستند.
آسیبپذیریهایی که Atlassian روز سهشنبه برای رفع آنها منتشر کرد، عبارتند از:
-
CVE-2022-1471 (امتیاز شدت آسیبپذیری CVSS 9.8 از 10): Deserialization در SnakeYAML کتابخانه، بر چندین پلت فرم نرم افزار Atlassian تأثیر می گذارد.
-
CVE-2023-22522 (CVSS 9): آسیب پذیری تزریق قالب تأیید شده که بر سرور Confluence و مرکز داده تأثیر می گذارد. به گفته Atlassian، شخصی که به سیستم وارد شده است، حتی به صورت ناشناس، می تواند ورودی کاربر ناامن را به صفحه Confluence تزریق کند و به RCE برسد.
-
CVE-2023-22523 (CVSS 9.8): RCE ممتاز در ابزار اسکن شبکه Assets Discovery برای مدیریت خدمات ابر، سرور و مرکز داده Jira. طبق توصیه Atlassian، «این آسیبپذیری بین برنامه Assets Discovery (که قبلاً به عنوان Insight Discovery شناخته میشد) و عامل Assets Discovery وجود دارد.
-
CVE-2023-22524 (CVSS 9.6): RCE در برنامه Atlassian Companion برای macOS، که برای ویرایش فایل در مرکز داده Confluence و سرور استفاده می شود. در این توصیه نامه آمده است: «یک مهاجم می تواند از WebSockets برای دور زدن فهرست بلاک Atlassian Companion و MacOS Gatekeeper برای اجازه اجرای کد استفاده کند.
حشرات Atlassian برای مهاجمان سایبری مزاحم هستند
آخرین توصیهها پس از یک رشته افشای اشکال از Atlassian، که به بهرهبرداری روز صفر و بهرهبرداری پس از وصله مرتبط است، به سختی انجام میشود.
نرم افزار Atlassian یک هدف محبوب برای عوامل تهدید، به ویژه Confluence است، که یک ویکی شرکتی مبتنی بر وب است که برای همکاری در محیط های ابری و سرور ترکیبی استفاده می شود. این امکان اتصال با یک کلیک به انواع پایگاه داده های مختلف را فراهم می کند و ابزار آن را برای مهاجمان غیرقابل اجرا می کند. بیش از 60,000 مشتری از Confluence از جمله LinkedIn، NASA و New York Times استفاده می کنند.
اگر گذشته مقدمه است، مدیران باید سریعا آخرین باگ ها را اصلاح کنند. برای مثال، در ماه اکتبر، شرکت نرمافزاری اصلاحات امنیتی را برای یک باگ RCE با حداکثر شدت (CVSS 10) در مرکز داده و سرور Confluence (CVE-2023-22515) ارائه کرد، که قبل از وصله توسط یک دستگاه مورد سوء استفاده قرار گرفته بود. تهدید دائمی پیشرفته (APT) تحت حمایت چین با عنوان Storm-0062 ردیابی شد. رشتهای از سوء استفادههای اثبات مفهوم نیز پس از افشا شدن به سرعت برای آن ظاهر شد و راه را برای تلاشهای استثمار انبوه هموار کرد.
بلافاصله پس از آن، در ماه نوامبر، یک اشکال RCE دیگر در مرکز داده و سرور Confluence که به عنوان یک روز صفر در طبیعت مورد سوء استفاده قرار گرفته بود، در ابتدا با امتیاز CVSS 9.1 مورد سوء استفاده قرار گرفت. با این حال، پس از انتشار وصلهها، تعداد زیادی باجافزار فعال و سایر حملات سایبری وجود دارد باعث شد اطلسیان نمره شدت را به 10 برساند.
در همان ماه، Atlassian فاش کرد که بامبو ادغام پیوسته (CI) و تحویل مداوم (CD) سرور توسعه نرم افزار، و همچنین مرکز داده و سرور Confluence، هر دو در برابر یک مشکل با حداکثر شدت آسیب پذیر بودند - این بار در بنیاد نرم افزار آپاچی (ASF) واسطه پیام ActiveMQ (CVE-2023-46604، CVSS 10). اشکال، که به عنوان سلاح اشکال "n-day".، همچنین به سرعت با کد اکسپلویت PoC تجهیز شد و به مهاجم از راه دور اجازه می داد دستورات دلخواه را روی سیستم های آسیب دیده اجرا کند. Atlassian اصلاحاتی را برای هر دو پلتفرم منتشر کرده است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- : دارد
- :است
- $UP
- 000
- 000 مشتری
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- مطابق
- رسیدن
- فعال
- بازیگران
- پیشرفته
- مشاوره
- تحت تاثیر قرار
- موثر بر
- پس از
- از نو
- عامل
- اجازه دادن
- اجازه دادن
- اجازه می دهد تا
- همچنین
- an
- و
- ناشناس
- دیگر
- آپاچی
- نرم افزار
- کاربرد
- برنامه های
- APT
- هستند
- AS
- ASF
- دارایی
- تلاشها
- تأیید اعتبار
- خیزران
- BE
- بوده
- میان
- هر دو
- دلال
- اشکال
- اشکالات
- by
- CAN
- CD
- مرکز
- دایره
- ابر
- رمز
- همکاری
- بیا
- همراه و همدم
- شرکت
- تلاقی
- اتصالات
- مداوم
- شرکت
- میتوانست
- بحرانی
- مشتریان
- حملات سایبری
- داده ها
- مرکز داده
- پایگاه های داده
- تحویل
- پروژه
- مختلف
- افشاء
- کشف
- توسط
- سرمایه گذاری
- محیط
- به خصوص
- حتی
- اجرا کردن
- اعدام
- وجود دارد
- بهره برداری
- بهره برداری
- سوء استفاده قرار گیرد
- سوء استفاده
- محبوب
- پرونده
- ثابت
- برای
- سابق
- پایه
- چهار
- از جانب
- دروازه بان
- بود
- سخت
- آیا
- سر
- اما
- HTML
- HTTPS
- ترکیبی
- ICON
- بلافاصله
- in
- شامل
- از جمله
- تزریق کنید
- ورودی
- بینش
- نمونه
- ادغام
- به
- موضوع
- صادر
- IT
- ITS
- JPG
- تنها
- شناخته شده
- دیر
- آخرین
- کتابخانه
- لینک
- ذکر شده
- سیستم وارد
- MacOS در
- سازنده
- ساخت
- مدیریت
- توده
- پیام
- ماه
- بیش
- جنبش
- چندگانه
- ناسا
- جدید
- نیویورک
- نیویورک تایمز
- نوامبر
- اکنون
- اکتبر
- of
- on
- باز کن
- در اصل
- دیگر
- خارج
- با ما
- گذشته
- وصله
- پچ های
- پچ کردن
- سنگفرش
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- پوک
- محبوب
- قبلا
- ممتاز
- پیش گفتار
- به سرعت
- باجافزار
- خواندن
- منتشر شد
- دور
- نشان داد
- رول
- s
- همان
- نمره
- تیم امنیت لاتاری
- سرور
- سرویس
- باید
- نرم افزار
- توسعه نرم افزار
- کسی
- رشته
- متعاقب
- سطح
- سیستم
- سیستم های
- هدف
- قالب
- تمایل
- نسبت به
- که
- La
- نیویورک تایمز
- آنها
- این
- تهدید
- بازیگران تهدید
- گره خورده است
- زمان
- بار
- به
- ابزار
- سه شنبه
- استفاده کنید
- استفاده
- کاربر
- سودمندی
- استفاده کنید
- تنوع
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- بود
- مسیر..
- مبتنی بر وب
- خوب
- بود
- که
- وحشی
- با
- در داخل
- هنوز
- نیویورک
- زفیرنت