Nadszedł czas na ponowną łatkę: cztery krytyczne luki w zabezpieczeniach oprogramowania Atlassian otwierają drzwi do zdalnego wykonania kodu (RCE), a następnie bocznego ruchu w środowiskach korporacyjnych. To tylko najnowsze błędy, które ostatnio wyszły na jaw w wyniku współpracy twórców oprogramowania i platform DevOps, które zwykle są ulubionym celem cyberataków.
Luki, które Atlassian opublikował we wtorek, obejmują:
-
CVE-2022-1471 (Wskaźnik ważności luki w zabezpieczeniach CVSS wynoszący 9.8 na 10): Deserializacja w pliku WążYAML biblioteki, wpływając na wiele platform oprogramowania Atlassian.
-
CVE-2023-22522 (CVSS 9): Luka w zabezpieczeniach polegająca na wstrzykiwaniu uwierzytelnionego szablonu wpływająca na serwer Confluence i centrum danych. Według Atlassian osoba zalogowana do systemu, nawet anonimowo, może wprowadzić niebezpieczne dane wejściowe użytkownika na stronę Confluence i osiągnąć RCE.
-
CVE-2023-22523 (CVSS 9.8): Uprzywilejowane RCE w narzędziu do skanowania sieci Assets Discovery dla Jira Service Management Cloud, Server i Data Center. Według zalecenia Atlassian: „Pomiędzy aplikacją Assets Discovery (wcześniej znaną jako Insight Discovery) a agentem Assets Discovery istnieje luka w zabezpieczeniach”.
-
CVE-2023-22524 (CVSS 9.6): RCE w aplikacji Atlassian Companion dla systemu macOS, która służy do edycji plików w Confluence Data Center i Server. „Osoba atakująca może wykorzystać WebSockets do ominięcia listy blokowania Atlassian Companion i narzędzia MacOS Gatekeeper, aby umożliwić wykonanie kodu” – czytamy w poradniku.
Błędy Atlassian są kocimiętką dla cyberataków
Najnowsze porady pojawiają się po serii ujawnień błędów firmy Atlassian, które są powiązane zarówno z eksploatacją w dniu zerowym, jak i po wprowadzeniu poprawki.
Oprogramowanie Atlassian jest popularnym celem cyberprzestępców, zwłaszcza Confluence – popularnej internetowej korporacyjnej witryny wiki używanej do współpracy w środowiskach chmurowych i serwerów hybrydowych. Umożliwia połączenie jednym kliknięciem z wieloma różnymi bazami danych, dzięki czemu jest przydatny dla atakujących. Z Confluence korzysta ponad 60,000 XNUMX klientów, w tym LinkedIn, NASA i New York Times.
Jeśli przeszłość jest prologiem, administratorzy powinni natychmiast załatać najnowsze błędy. Na przykład w październiku producent oprogramowania wprowadził poprawki bezpieczeństwa dla błędu RCE o maksymalnej wadze (CVSS 10) w centrum danych i serwerze Confluence (CVE-2023-22515), który został wykorzystany przed łataniem przez Sponsorowane przez Chiny zaawansowane trwałe zagrożenie (APT) śledzone jako Storm-0062. Po ujawnieniu szybko pojawił się szereg exploitów potwierdzających słuszność koncepcji, torując drogę masowym próbom wykorzystania.
Niedługo potem, w listopadzie, w centrum danych i serwerze Confluence, który był wykorzystywany jako dzień zerowy, pojawił się kolejny błąd RCE, pierwotnie wymieniony na liście z wynikiem 9.1 w CVSS. Jednak po wydaniu łat pojawiło się mnóstwo aktywnego oprogramowania ransomware i innych cyberataków skłoniło firmę Atlassian do podniesienia oceny dotkliwości do 10.
W tym samym miesiącu Atlassian ujawnił, że Bamboo ciągła integracja (CI) i ciągłe dostarczanie (CD) serwer do tworzenia oprogramowania, jak również Confluence Data Center i serwer, były podatne na kolejny problem o maksymalnej wadze — tym razem w fundacji Apache Software Foundation (ASF) Broker komunikatów ActiveMQ (CVE-2023-46604, CVSS 10). Błąd, który został uzbrojony jako Błąd „n-day”., został również szybko wyposażony w kod exploita PoC, umożliwiający zdalnemu atakującemu wykonanie dowolnych poleceń w zagrożonych systemach. Atlassian wydał poprawki dla obu platform.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- :ma
- :Jest
- $W GÓRĘ
- 000
- Klienci 000
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- Stosownie
- Osiągać
- aktywny
- aktorzy
- zaawansowany
- doradczy
- afektowany
- wpływający
- Po
- ponownie
- Agent
- dopuszczać
- Pozwalać
- pozwala
- również
- an
- i
- Anonimowo
- Inne
- Apache
- Aplikacja
- Zastosowanie
- mobilne i webowe
- APT
- SĄ
- AS
- ASF
- Aktywa
- Próby
- uwierzytelniony
- Bambus
- BE
- być
- pomiędzy
- obie
- pośrednik
- Bug
- błędy
- by
- CAN
- CD
- Centrum
- Okrągłe
- Chmura
- kod
- współpraca
- jak
- towarzysz
- sukcesy firma
- zbieg
- połączenia
- ciągły
- Korporacyjny
- mógłby
- krytyczny
- Klientów
- cyberataki
- dane
- Centrum danych
- Bazy danych
- dostawa
- oprogramowania
- różne
- ujawnienie
- odkrycie
- Drzwi
- Enterprise
- środowiska
- szczególnie
- Parzyste
- wykonać
- egzekucja
- istnieje
- Wykorzystać
- eksploatacja
- eksploatowany
- exploity
- Moja lista
- filet
- poprawki
- W razie zamówieenia projektu
- dawniej
- Fundacja
- cztery
- od
- Portier
- miał
- Ciężko
- Have
- głowa
- Jednak
- HTML
- HTTPS
- Hybrydowy
- ICON
- natychmiast
- in
- zawierać
- Włącznie z
- wstrzykiwać
- wkład
- wgląd
- przykład
- integracja
- najnowszych
- problem
- Wydany
- IT
- JEGO
- jpg
- właśnie
- znany
- Późno
- firmy
- Biblioteka
- Katalogowany
- zalogowany
- MacOS
- producent
- Dokonywanie
- i konserwacjami
- Masa
- wiadomość
- Miesiąc
- jeszcze
- ruch
- wielokrotność
- NASA
- Nowości
- I Love New York
- New York Times
- listopad
- już dziś
- październik
- of
- on
- koncepcja
- pierwotnie
- Inne
- na zewnątrz
- strona
- Przeszłość
- Łata
- Łatki
- łatanie
- Chodnik
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- PoC
- Popularny
- Wcześniejszy
- uprzywilejowany
- prolog
- szybko
- ransomware
- Czytaj
- wydany
- zdalny
- Ujawnił
- Walcowane
- s
- taki sam
- wynik
- bezpieczeństwo
- serwer
- usługa
- powinien
- Tworzenie
- rozwoju oprogramowania
- Ktoś
- sznur
- kolejny
- Powierzchnia
- system
- systemy
- cel
- szablon
- Tendencję
- niż
- że
- Połączenia
- The New York Times
- one
- to
- groźba
- podmioty grożące
- Związany
- czas
- czasy
- do
- narzędzie
- Wtorek
- posługiwać się
- używany
- Użytkownik
- użyteczność
- wykorzystać
- różnorodność
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- była
- Droga..
- Web-based
- DOBRZE
- były
- który
- Dziki
- w
- w ciągu
- jeszcze
- york
- zefirnet