यह फिर से पैच करने का समय है: एटलसियन सॉफ़्टवेयर में चार महत्वपूर्ण सुरक्षा कमजोरियाँ रिमोट कोड निष्पादन (आरसीई) और उद्यम वातावरण के भीतर बाद के पार्श्व आंदोलन का द्वार खोलती हैं। वे सॉफ़्टवेयर निर्माता के सहयोग और DevOps प्लेटफ़ॉर्म में हाल ही में सामने आए नवीनतम बग हैं, जो साइबर हमलावरों के लिए पसंदीदा लक्ष्य होते हैं।
एटलसियन ने मंगलवार को जिन कमजोरियों के समाधान जारी किए, उनमें शामिल हैं:
-
CVE-2022-1471 (सीवीएसएस भेद्यता गंभीरता स्कोर 9.8 में से 10): डीसेरिएलाइज़ेशन सांपYAML लाइब्रेरी, कई एटलसियन सॉफ़्टवेयर प्लेटफ़ॉर्म को प्रभावित कर रही है।
-
CVE-2023-22522 (सीवीएसएस 9): कॉन्फ्लुएंस सर्वर और डेटा सेंटर को प्रभावित करने वाली प्रमाणित टेम्पलेट इंजेक्शन भेद्यता। एटलसियन के अनुसार, सिस्टम में लॉग इन किया गया कोई व्यक्ति, भले ही गुमनाम रूप से, कॉन्फ्लुएंस पेज में असुरक्षित उपयोगकर्ता इनपुट इंजेक्ट कर सकता है और आरसीई प्राप्त कर सकता है।
-
CVE-2023-22523 (सीवीएसएस 9.8): जीरा सर्विस मैनेजमेंट क्लाउड, सर्वर और डेटा सेंटर के लिए एसेट्स डिस्कवरी नेटवर्क-स्कैनिंग टूल में विशेषाधिकार प्राप्त आरसीई। एटलसियन की सलाह के अनुसार, "एसेट डिस्कवरी एप्लिकेशन (जिसे पहले इनसाइट डिस्कवरी के नाम से जाना जाता था) और एसेट्स डिस्कवरी एजेंट के बीच भेद्यता मौजूद है।"
-
CVE-2023-22524 (सीवीएसएस 9.6): मैकओएस के लिए एटलसियन कंपेनियन ऐप में आरसीई, जिसका उपयोग कॉन्फ्लुएंस डेटा सेंटर और सर्वर में फ़ाइल संपादन के लिए किया जाता है। सलाहकार ने कहा, "एक हमलावर कोड के निष्पादन की अनुमति देने के लिए एटलसियन कंपेनियन की ब्लॉकलिस्ट और मैकओएस गेटकीपर को बायपास करने के लिए वेबसॉकेट का उपयोग कर सकता है।"
एटलसियन बग साइबर हमलावरों के लिए घातक हैं
नवीनतम सलाह एटलसियन के बग खुलासे की कड़ी के बाद आई है, जो शून्य-दिन और पोस्ट-पैच शोषण दोनों से जुड़ी हुई है।
एटलसियन सॉफ्टवेयर खतरे वाले अभिनेताओं के लिए एक लोकप्रिय लक्ष्य है, विशेष रूप से कॉन्फ्लुएंस, जो एक लोकप्रिय वेब-आधारित कॉर्पोरेट विकी है जिसका उपयोग क्लाउड और हाइब्रिड सर्वर वातावरण में सहयोग के लिए किया जाता है। यह विभिन्न प्रकार के डेटाबेस के लिए एक-क्लिक कनेक्शन की अनुमति देता है, जिससे हमलावरों के लिए इसकी उपयोगिता बेजोड़ हो जाती है। लिंक्डइन, नासा और न्यूयॉर्क टाइम्स सहित 60,000 से अधिक ग्राहक कॉन्फ्लुएंस का उपयोग करते हैं।
यदि अतीत प्रस्तावना है, तो व्यवस्थापकों को तुरंत नवीनतम बग को ठीक करना चाहिए। उदाहरण के लिए, अक्टूबर में, सॉफ्टवेयर कंपनी ने कॉन्फ्लुएंस डेटा सेंटर और सर्वर (सीवीई-10-2023) में अधिकतम-गंभीरता वाले आरसीई बग (सीवीएसएस 22515) के लिए सुरक्षा सुधार शुरू किए, जिसका पैचिंग से पहले फायदा उठाया गया था। चीन प्रायोजित उन्नत लगातार खतरे (एपीटी) को स्टॉर्म-0062 के रूप में ट्रैक किया गया. प्रकटीकरण के बाद प्रूफ-ऑफ-कॉन्सेप्ट कारनामों की एक श्रृंखला भी तेजी से सामने आई, जिससे बड़े पैमाने पर शोषण के प्रयासों का मार्ग प्रशस्त हुआ।
इसके तुरंत बाद, नवंबर में, एक और आरसीई बग ने कॉन्फ्लुएंस डेटा सेंटर और सर्वर में अपना सिर उठाया, जिसका जंगल में शून्य-दिन के रूप में शोषण किया गया था, मूल रूप से 9.1 सीवीएसएस स्कोर के साथ सूचीबद्ध किया गया था। हालाँकि, पैच जारी होने के बाद सक्रिय रैंसमवेयर और अन्य साइबर हमलों की भरमार हो गई एटलसियन को गंभीरता स्कोर 10 तक बढ़ाने के लिए प्रेरित किया.
उसी महीने, एटलसियन ने खुलासा किया कि बांस सतत एकीकरण (सीआई) और सतत वितरण (सीडी) सॉफ्टवेयर विकास के लिए सर्वर, साथ ही कॉन्फ्लुएंस डेटा सेंटर और सर्वर, दोनों एक और अधिकतम-गंभीरता समस्या के प्रति संवेदनशील थे - इस बार अपाचे सॉफ्टवेयर फाउंडेशन (एएसएफ) में ActiveMQ संदेश ब्रोकर (CVE-2023-46604, CVSS 10). बग, जिसे एक के रूप में हथियार बनाया गया था "एन-डे" बग, को तुरंत PoC शोषण कोड से सुसज्जित किया गया, जिससे एक दूरस्थ हमलावर को प्रभावित सिस्टम पर मनमाने आदेशों को निष्पादित करने की अनुमति मिल गई। एटलसियन ने दोनों प्लेटफार्मों के लिए फ़िक्सेस जारी किए हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- :हैस
- :है
- $यूपी
- 000
- 000 ग्राहक
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- अनुसार
- पाना
- सक्रिय
- अभिनेताओं
- उन्नत
- सलाहकार
- लग जाना
- प्रभावित करने वाले
- बाद
- फिर
- एजेंट
- अनुमति देना
- की अनुमति दे
- की अनुमति देता है
- भी
- an
- और
- गुमनाम रूप से
- अन्य
- अपाचे
- अनुप्रयोग
- आवेदन
- क्षुधा
- APT
- हैं
- AS
- ASF
- संपत्ति
- प्रयास
- प्रमाणीकृत
- बांस
- BE
- किया गया
- के बीच
- के छात्रों
- दलाल
- दोष
- कीड़े
- by
- कर सकते हैं
- CD
- केंद्र
- चक्र
- बादल
- कोड
- सहयोग
- कैसे
- साथी
- कंपनी
- संगम
- कनेक्शन
- निरंतर
- कॉर्पोरेट
- सका
- महत्वपूर्ण
- ग्राहक
- साइबर हमले
- तिथि
- डाटा केंद्र
- डेटाबेस
- प्रसव
- विकास
- विभिन्न
- प्रकटीकरण
- खोज
- द्वारा
- उद्यम
- वातावरण
- विशेष रूप से
- और भी
- निष्पादित
- निष्पादन
- मौजूद
- शोषण करना
- शोषण
- शोषित
- कारनामे
- पसंदीदा
- पट्टिका
- स्थिर
- के लिए
- पूर्व में
- बुनियाद
- चार
- से
- द्वारपाल
- था
- कठिन
- है
- सिर
- तथापि
- एचटीएमएल
- HTTPS
- संकर
- नायक
- तुरंत
- in
- शामिल
- सहित
- इंजेक्षन
- निवेश
- अन्तर्दृष्टि
- उदाहरण
- एकीकरण
- में
- मुद्दा
- जारी किए गए
- IT
- आईटी इस
- जेपीजी
- केवल
- जानने वाला
- देर से
- ताज़ा
- पुस्तकालय
- लिंक्डइन
- सूचीबद्ध
- लॉग इन
- MacOS
- निर्माता
- निर्माण
- प्रबंध
- सामूहिक
- message
- महीना
- अधिक
- आंदोलन
- विभिन्न
- नासा
- नया
- न्यूयॉर्क
- न्यूयॉर्क टाइम्स
- नवंबर
- अभी
- अक्टूबर
- of
- on
- खुला
- मौलिक रूप से
- अन्य
- आउट
- पृष्ठ
- अतीत
- पैच
- पैच
- पैच
- फ़र्श
- प्लेटफार्म
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- PoC
- लोकप्रिय
- पूर्व
- विशेषाधिकृत
- प्रस्तावना
- जल्दी से
- Ransomware
- पढ़ना
- रिहा
- दूरस्थ
- प्रकट
- लुढ़का हुआ
- s
- वही
- स्कोर
- सुरक्षा
- सर्वर
- सेवा
- चाहिए
- सॉफ्टवेयर
- सॉफ्टवेयर विकास
- कोई
- तार
- आगामी
- सतह
- प्रणाली
- सिस्टम
- लक्ष्य
- टेम्पलेट
- करते हैं
- से
- कि
- RSI
- न्यूयॉर्क टाइम्स
- वे
- इसका
- धमकी
- खतरों के खिलाड़ी
- बंधा होना
- पहर
- बार
- सेवा मेरे
- साधन
- मंगलवार
- उपयोग
- प्रयुक्त
- उपयोगकर्ता
- उपयोगिता
- उपयोग
- विविधता
- कमजोरियों
- भेद्यता
- चपेट में
- था
- मार्ग..
- वेब आधारित
- कुंआ
- थे
- कौन कौन से
- जंगली
- साथ में
- अंदर
- अभी तक
- यॉर्क
- जेफिरनेट
