Korjaus nyt: Kriittiset Atlassian-virheet vaarantavat yrityssovelluksia

Korjaus nyt: Kriittiset Atlassian-virheet vaarantavat yrityssovelluksia

Aikaleima: 6. joulukuuta 2023 5
Korjaus nyt: Kriittiset Atlassian-virheet vaarantavat yrityssovellusten PlatoBlockchain Data Intelligencen. Pystysuuntainen haku. Ai.

On aika korjata uudelleen: Atlassian-ohjelmiston neljä kriittistä tietoturvahaavoittuvuutta avaa oven koodin etäsuoritukseen (RCE) ja myöhempään sivuttaisliikenteeseen yritysympäristöissä. Ne ovat vain viimeisimmät bugit, jotka ovat viime aikoina ilmaantuneet ohjelmistovalmistajien yhteistyössä ja DevOps-alustoissa, jotka ovat yleensä kyberhyökkääjien suosikkikohteita.

Haavoittuvuuksia, joihin Atlassian julkaisi tiistaina korjauksia, ovat:

  • CVE-2022-1471 (CVSS-haavoittuvuuden vakavuuspisteet 9.8/10): Deserialisointi SnakeYAML kirjasto, joka vaikuttaa useisiin Atlassian-ohjelmistoalustoihin.

  • CVE-2023-22522 (CVSS 9): Todennettu mallin lisäyshaavoittuvuus, joka vaikuttaa Confluence Serveriin ja Data Centeriin. Joku järjestelmään kirjautunut, jopa anonyymisti, voi syöttää vaarallisia käyttäjän syötteitä Confluence-sivulle ja saavuttaa RCE:n Atlassianin mukaan.

  • CVE-2023-22523 (CVSS 9.8): Etuoikeutettu RCE Assets Discovery -verkkoskannaustyökalussa Jira Service Management Cloudille, Serverille ja Data Centerille. Atlassianin neuvojen mukaan "Assets Discovery -sovelluksen (aiemmin Insight Discovery) ja Assets Discovery -agentin välillä on haavoittuvuus."

  • CVE-2023-22524 (CVSS 9.6): RCE macOS:n Atlassian Companion -sovelluksessa, jota käytetään tiedostojen muokkaamiseen Confluence Data Centerissä ja -palvelimessa. "Hyökkääjä voisi käyttää WebSocketsia ohittaakseen Atlassian Companionin estoluettelon ja MacOS Gatekeeperin salliakseen koodin suorittamisen", neuvolassa lukee.

Atlassian Bugs ovat kissanminttu kyberhyökkääjille

Viimeisimmät neuvot tulevat kovasti Atlassianin virheilmoitusten jonossa, jotka on sidottu sekä nollapäivän että päivityksen jälkeiseen hyväksikäyttöön.

Atlassian-ohjelmisto on suosittu kohde uhkatekijöille, erityisesti Confluencelle, joka on suosittu web-pohjainen yrityswiki, jota käytetään yhteistyöhön pilvi- ja hybridipalvelinympäristöissä. Se mahdollistaa yhteyden muodostamisen yhdellä napsautuksella useisiin erilaisiin tietokantoihin, mikä tekee sen hyödyllisyydestä hyökkääjille nonpareil. Yli 60,000 XNUMX asiakasta käyttää Confluencea, mukaan lukien LinkedIn, NASA ja New York Times.

Jos menneisyys on prologi, järjestelmänvalvojien tulee korjata uusimmat virheet välittömästi. Esimerkiksi lokakuussa ohjelmistoyritys otti käyttöön tietoturvakorjauksia maksimivakavuuteen RCE-virheeseen (CVSS 10) Confluence Data Center and Server -palvelimessa (CVE-2023-22515), jota oli hyödynnetty ennen korjausta. Kiinan tukema kehittynyt jatkuva uhka (APT) jäljitetty nimellä Storm-0062. Sille ilmestyi nopeasti myös joukko proof-of-concept-hyökkäyksiä paljastamisen jälkeen, mikä tasoitti tietä massahyödyntämisyrityksille.

Pian sen jälkeen, marraskuussa, toinen RCE-virhe nosti päätään Confluence-tietokeskuksessa ja -palvelimessa, jota oli hyödynnetty nollapäivänä luonnossa ja joka oli alun perin listattu 9.1 CVSS-pisteillä. Kuitenkin paljon aktiivisia lunnasohjelmia ja muita kyberhyökkäyksiä korjaustiedostojen julkaisun jälkeen sai Atlassianin nostamaan vakavuuspisteen 10:een.

Samassa kuussa Atlassian paljasti, että Bamboo jatkuva integrointi (CI) ja jatkuva toimitus (CD) ohjelmistokehityspalvelin sekä Confluence Data Center ja Server olivat molemmat haavoittuvia toiselle maksimivakavuudelle - tällä kertaa Apache Software Foundationin (ASF) ActiveMQ-viestinvälittäjä (CVE-2023-46604, CVSS 10). Bugi, joka oli aseistautunut "n-päivän" bugi, varustettiin myös nopeasti PoC-hyödyntämiskoodilla, jonka avulla etähyökkääjä voi suorittaa mielivaltaisia ​​komentoja järjestelmissä, joita asia koskee. Atlassian on julkaissut korjauksia molemmille alustoille.

Aikaleima:

Lisää aiheesta Pimeää luettavaa