הגיע הזמן לתקן שוב: ארבע פרצות אבטחה קריטיות בתוכנת Atlassian פותחות את הדלת לביצוע קוד מרחוק (RCE) ולתנועה לרוחב לאחר מכן בתוך סביבות ארגוניות. הם רק הבאגים האחרונים שצצו לאחרונה בשיתוף הפעולה של יצרנית התוכנה ובפלטפורמות DevOps, אשר נוטות להיות יעד מועדף עבור תוקפי סייבר.
הפגיעויות, שאטלסיאן פרסמה תיקונים עבורן ביום שלישי, כוללות:
-
CVE-2022-1471 (ציון חומרת פגיעות CVSS של 9.8 מתוך 10): דה-סריאליזציה ב- SnakeYAML ספרייה, המשפיעה על פלטפורמות תוכנה מרובות של אטלסיאן.
-
CVE-2023-22522 (CVSS 9): פגיעות הזרקת תבנית מאומתת המשפיעה על שרת Confluence ומרכז הנתונים. מישהו שנכנס למערכת, אפילו באופן אנונימי, יכול להחדיר קלט משתמש לא בטוח לדף Confluence ולהשיג RCE, לפי Atlassian.
-
CVE-2023-22523 (CVSS 9.8): RCE מוגן בכלי סריקת הרשת Assets Discovery עבור Jira Service Management Cloud, Server ו-Data Center. על פי הייעוץ של Atlassian, "הפגיעות קיימת בין אפליקציית Assets Discovery (שנודעה בעבר בשם Insight Discovery) לבין סוכן Assets Discovery."
-
CVE-2023-22524 (CVSS 9.6): RCE באפליקציית Atlassian Companion עבור macOS, המשמשת לעריכת קבצים ב-Confluence Data Center ובשרת. "תוקף יכול להשתמש ב-WebSockets כדי לעקוף את רשימת החסימות של Atlassian Companion ו-MacOS Gatekeeper כדי לאפשר ביצוע קוד", נכתב בייעוץ.
באגים של אטלסיאן הם תוקפנות לתוקפי סייבר
העצות האחרונות באות קשה בעקבות שורה של גילויי באגים של Atlassian, שהיו קשורים הן לניצול יום אפס והן לאחר תיקון.
תוכנת אטלסיאן היא יעד פופולרי עבור גורמי איומים, במיוחד Confluence, שהיא ויקי ארגוני פופולרי מבוסס אינטרנט המשמש לשיתוף פעולה בסביבות ענן וסביבות שרתים היברידיות. הוא מאפשר חיבורים בלחיצה אחת למגוון מסדי נתונים שונים, מה שהופך את השירות שלו לתוקפים ללא התאמה. יותר מ-60,000 לקוחות משתמשים ב-Confluence, כולל לינקדאין, נאס"א והניו יורק טיימס.
אם העבר הוא פרולוג, מנהלי מערכת צריכים לתקן את הבאגים האחרונים באופן מיידי. באוקטובר, למשל, חברת התוכנה פרסמה תיקוני אבטחה עבור באג RCE בדרגת חומרה מקסימלית (CVSS 10) במרכז הנתונים והשרת Confluence (CVE-2023-22515), אשר נוצל לפני התיקון על ידי איום מתמשך מתקדם (APT) בחסות סין, במעקב כ-Storm-0062. שורה של מעללי הוכחה למושג גם צצה עבורו במהירות לאחר החשיפה, וסללה את הדרך לניסיונות ניצול המוניים.
זמן קצר לאחר, בנובמבר, באג RCE נוסף הרים את ראשו במרכז הנתונים והשרת של Confluence, שניצלו כיום אפס בטבע, רשום במקור עם ציון 9.1 CVSS. עם זאת, שפע של תוכנות כופר אקטיביות והתקפות סייבר אחרות לאחר פרסום התיקונים גרם לאטלסיאן להעלות את ציון החומרה ל-10.
באותו חודש, אטלסיאן חשף כי הבמבוק אינטגרציה מתמשכת (CI) ואספקה מתמשכת (CD) שרת לפיתוח תוכנה, כמו גם Confluence Data Center ו-Server, היו שניהם פגיעים לבעיה נוספת בדרגת חומרה מקסימלית - הפעם בקרן Apache Software Foundation (ASF) מתווך הודעות ActiveMQ (CVE-2023-46604, CVSS 10). הבאג, שהופעל כנשק באג "יום יום"., צויד במהירות גם בקוד ניצול PoC, המאפשר לתוקף מרוחק לבצע פקודות שרירותיות במערכות מושפעות. Atlassian פרסמה תיקונים עבור שתי הפלטפורמות.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- :יש ל
- :הוא
- $ למעלה
- 000
- 000 לקוחות
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- פי
- להשיג
- פעיל
- שחקנים
- מתקדם
- ייעוץ
- מושפע
- משפיע
- לאחר
- שוב
- סוֹכֵן
- להתיר
- מאפשר
- מאפשר
- גם
- an
- ו
- בעילום שם
- אחר
- אַפָּשׁ
- האפליקציה
- בקשה
- אפליקציות
- APT
- ARE
- AS
- ASF
- נכסים
- ניסיונות
- מאומת
- במבוק
- BE
- היה
- בֵּין
- שניהם
- ברוקר
- חרק
- באגים
- by
- CAN
- CD
- מרכז
- מעגל
- ענן
- קוד
- שיתוף פעולה
- איך
- חבר
- חברה
- מפגש
- חיבורי
- רציף
- משותף
- יכול
- קריטי
- לקוחות
- התקפות רשת
- נתונים
- מרכז נתונים
- מאגרי מידע
- מסירה
- צעצועי התפתחות
- אחר
- חשיפה
- תגלית
- דֶלֶת
- מִפְעָל
- סביבות
- במיוחד
- אֲפִילוּ
- לבצע
- הוצאת להורג
- קיים
- לנצל
- ניצול
- ומנוצל
- מעללים
- חביב
- שלח
- תיקוני
- בעד
- לשעבר
- קרן
- ארבע
- החל מ-
- שׁוֹעֵר
- היה
- קשה
- יש
- ראש
- אולם
- HTML
- HTTPS
- היברידי
- ICON
- מיד
- in
- לכלול
- כולל
- לְהַזרִיק
- קלט
- תובנה
- למשל
- השתלבות
- אל תוך
- סוגיה
- הפיקו
- IT
- שֶׁלָה
- jpg
- רק
- ידוע
- מְאוּחָר
- האחרון
- סִפְרִיָה
- לינקדין
- ברשימה
- מחובר
- MacOS
- יצרן
- עשייה
- ניהול
- מסה
- הודעה
- חוֹדֶשׁ
- יותר
- תנועה
- מספר
- נאס"א
- חדש
- ניו יורק
- ניו יורק טיימס
- נוֹבֶמבֶּר
- עַכשָׁיו
- אוֹקְטוֹבֶּר
- of
- on
- לפתוח
- בְּמָקוֹר
- אחר
- הַחוּצָה
- עמוד
- עבר
- תיקון
- טלאים
- תיקון
- סלילה
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- PoC
- פופולרי
- קודם
- חסוי
- פּרוֹלוֹג
- מהירות
- ransomware
- חומר עיוני
- שוחרר
- מרחוק
- גילה
- התגלגל
- s
- אותו
- ציון
- אבטחה
- שרת
- שרות
- צריך
- תוכנה
- פיתוח תוכנה
- מישהו
- מחרוזת
- לאחר מכן
- משטח
- מערכת
- מערכות
- יעד
- תבנית
- נוטה
- מֵאֲשֶׁר
- זֶה
- השמיים
- ניו יורק טיימס
- הֵם
- זֶה
- איום
- איום שחקנים
- קָשׁוּר
- זמן
- פִּי
- ל
- כלי
- יום שלישי
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- תועלת
- לנצל
- מגוון
- פגיעויות
- פגיעות
- פגיע
- היה
- דֶרֶך..
- המבוסס על האינטרנט
- טוֹב
- היו
- אשר
- בר
- עם
- בתוך
- עוד
- york
- זפירנט
