再びパッチを適用する時期が来ました。アトラシアン ソフトウェアに存在する XNUMX つの重大なセキュリティ脆弱性により、リモート コード実行 (RCE) とその後のエンタープライズ環境内での水平移動への扉が開かれます。 これらは、ソフトウェア メーカーのコラボレーションや DevOps プラットフォームで最近表面化した最新のバグにすぎず、サイバー攻撃者の格好の標的となる傾向があります。
アトラシアンが火曜日に修正版を発行した脆弱性には次のものが含まれます。
-
CVE-2022-1471 (CVSS 脆弱性重大度スコア 9.8 点中 10): でのデシリアライゼーション スネークYAML ライブラリ、複数のアトラシアン ソフトウェア プラットフォームに影響します。
-
CVE-2023-22522 (CVSS 9): Confluence Server と Data Center に影響を与える認証済みテンプレート インジェクションの脆弱性。 アトラシアンによると、匿名であってもシステムにログインした誰かが安全でないユーザー入力を Confluence ページに挿入し、RCE を達成する可能性があります。
-
CVE-2023-22523 (CVSS 9.8): Jira Service Management Cloud、サーバー、およびデータ センター用の Assets Discovery ネットワーク スキャン ツールの特権 RCE。 アトラシアンの勧告によると、「この脆弱性は、Assets Discovery アプリケーション (以前は Insight Discovery として知られていました) と Assets Discovery エージェントの間に存在します。」
-
CVE-2023-22524 (CVSS 9.6): macOS 用 Atlassian Companion アプリの RCE。Confluence Data Center および Server でのファイル編集に使用されます。 「攻撃者はWebSocketを利用してAtlassian CompanionのブロックリストやMacOS Gatekeeperを回避し、コードの実行を許可する可能性がある」と勧告には書かれている。
アトラシアンのバグはサイバー攻撃者にとってマタタビのようなもの
最新の勧告は、ゼロデイ悪用とパッチ後の悪用の両方に関連するアトラシアンによる一連のバグの開示に続いて発表された。
Atlassian ソフトウェア、特に Confluence は、クラウドおよびハイブリッド サーバー環境でのコラボレーションに使用される人気の Web ベースの企業 Wiki であり、脅威アクターの人気の標的となっています。 ワンクリックでさまざまなデータベースに接続できるため、攻撃者にとってその有用性は比類のないものになります。 LinkedIn、NASA、ニューヨーク タイムズを含む 60,000 を超える顧客が Confluence を使用しています。
過去が序章である場合、管理者は最新のバグに直ちにパッチを適用する必要があります。 たとえば、このソフトウェア会社は 10 月に、Confluence データ センターおよびサーバー (CVE-2023-22515) の最大重大度 RCE バグ (CVSS XNUMX) に対するセキュリティ修正を公開しました。このバグは、パッチ適用前に悪用されていました。 中国が支援する高度持続的脅威 (APT) が Storm-0062 として追跡される。 一連の概念実証エクスプロイトも公開後すぐに出現し、大規模悪用の試みへの道を開きました。
その直後の 9.1 月に、別の RCE バグが Confluence データ センターおよびサーバーで発生しました。このバグは、当初 XNUMX CVSS スコアでリストされていた、実際のゼロデイとして悪用されました。 しかし、パッチがリリースされた後、アクティブなランサムウェアやその他のサイバー攻撃が大量に発生 アトラシアンは重大度スコアを 10 に引き上げるよう促した.
同月、アトラシアンは、Bamboo が 継続的インテグレーション (CI) と継続的デリバリー (CD) ソフトウェア開発用サーバー、Confluence Data Center および Server はどちらも、さらに別の最大重大度の問題に対して脆弱でした。今回は Apache Software Foundation (ASF) の問題でした。 ActiveMQ メッセージ ブローカー (CVE-2023-46604、CVSS 10)。 として武器化されたバグ。 「n日」バグ、PoC エクスプロイト コードもすぐに提供され、リモートの攻撃者が影響を受けるシステム上で任意のコマンドを実行できるようになりました。 アトラシアンは両方のプラットフォーム向けの修正をリリースしました。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- :持っている
- :は
- $UP
- 000
- 000のお客様
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- 従った
- 達成する
- アクティブ
- 俳優
- 高度な
- アドバイザリー
- 影響を受けました
- 影響
- 後
- 再び
- エージェント
- 許す
- 許可
- ことができます
- また
- an
- および
- 匿名で
- 別の
- アパッチ
- アプリ
- 申し込み
- アプリ
- APT
- です
- AS
- ASF
- 資産
- 試み
- 認証された
- 竹
- BE
- き
- の間に
- 両言語で
- ブローカー
- バグ
- バグ
- by
- 缶
- CD
- センター
- サークル
- クラウド
- コード
- 環境、テクノロジーを推奨
- 来ます
- コンパニオン
- 会社
- 合流
- Connections
- 連続的な
- 企業
- 可能性
- 重大な
- Customers
- サイバー攻撃
- データ
- データセンター
- データベースを追加しました
- 配達
- 開発
- 異なります
- 開示
- 発見
- によって
- Enterprise
- 環境
- 特に
- さらに
- 実行します
- 実行
- 存在
- 悪用する
- 搾取
- 搾取
- エクスプロイト
- お気に入り
- File
- 修正
- 以前は
- Foundation
- 4
- から
- 門番
- 持っていました
- ハード
- 持ってる
- しかしながら
- HTML
- HTTPS
- ハイブリッド
- ICON
- 直ちに
- in
- include
- 含めて
- 注入します
- 洞察力
- 統合
- に
- 問題
- 発行済み
- IT
- ITS
- JPG
- ただ
- 既知の
- 遅く
- 最新の
- 図書館
- リストされた
- ログインして
- MacOSの
- メーカー
- 作成
- 管理
- 質量
- メッセージ
- 月
- 他には?
- 運動
- の試合に
- 米航空宇宙局(NASA)
- 新作
- ニューヨーク
- ニューヨーク·タイムズ紙
- 11月
- 今
- 10月
- of
- on
- 開いた
- 元々
- その他
- でる
- ページ
- 過去
- パッチ
- パッチ
- 補修
- 舗装
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- PoC
- 人気
- 事前の
- 特権を持つ
- 発端
- すぐに
- ランサムウェア
- 読む
- リリース
- リモート
- 明らかに
- 圧延
- s
- 同じ
- スコア
- セキュリティ
- サービス
- すべき
- ソフトウェア
- ソフトウェア開発
- 誰か
- 文字列
- それに続きます
- 表面
- システム
- ターゲット
- template
- 傾向があります
- より
- それ
- ニューヨークタイムズ
- 彼ら
- この
- 脅威
- 脅威アクター
- タイド
- 時間
- <font style="vertical-align: inherit;">回数</font>
- 〜へ
- ツール
- 火曜日
- つかいます
- 中古
- ユーザー
- ユーティリティ
- 活用する
- 多様
- 脆弱性
- 脆弱性
- 脆弱な
- ました
- 仕方..
- ウェブベースの
- WELL
- した
- which
- ワイルド
- 以内
- まだ
- ヨーク
- ゼファーネット
