Пришло время снова исправить: четыре критические уязвимости безопасности в программном обеспечении Atlassian открывают дверь для удаленного выполнения кода (RCE) и последующего перемещения в корпоративных средах. Это всего лишь последние ошибки, появившиеся в последнее время в сотрудничестве производителей программного обеспечения и платформ DevOps, которые, как правило, являются излюбленной целью кибератак.
Уязвимости, исправления которых Atlassian выпустил во вторник, включают:
-
CVE-2022-1471 (оценка серьезности уязвимости CVSS 9.8 из 10): Десериализация в ЗмеяЯМЛ библиотека, затрагивающая несколько программных платформ Atlassian.
-
CVE-2023-22522 (CVSS 9): уязвимость внедрения шаблона с проверкой подлинности, затрагивающая сервер Confluence и центр обработки данных. По данным Atlassian, кто-то, вошедший в систему, даже анонимно, может внедрить небезопасный пользовательский ввод на страницу Confluence и получить RCE.
-
CVE-2023-22523 (CVSS 9.8): привилегированный RCE в инструменте сетевого сканирования Assets Discovery для Jira Service Management Cloud, Server и Data Center. Согласно сообщению Atlassian, «уязвимость существует между приложением Assets Discovery (ранее известным как Insight Discovery) и агентом Assets Discovery».
-
CVE-2023-22524 (CVSS 9.6): RCE в приложении Atlassian Companion для macOS, которое используется для редактирования файлов в Confluence Data Center и Server. «Злоумышленник может использовать WebSockets для обхода черного списка Atlassian Companion и MacOS Gatekeeper, чтобы разрешить выполнение кода», — говорится в сообщении.
Ошибки Atlassian — кошачья мята для киберзлоумышленников
Последние рекомендации последовали сразу за серией сообщений об ошибках от Atlassian, которые были связаны как с эксплуатацией нулевого дня, так и после исправления.
Программное обеспечение Atlassian — популярная цель для злоумышленников, особенно Confluence — популярная корпоративная веб-вики, используемая для совместной работы в облачных и гибридных серверных средах. Он позволяет одним щелчком мыши подключаться к множеству различных баз данных, что делает его полезность для злоумышленников непревзойденной. Более 60,000 XNUMX клиентов используют Confluence, включая LinkedIn, NASA и New York Times.
Если прошлое — это пролог, администраторы должны немедленно исправить последние ошибки. В октябре, например, компания-разработчик программного обеспечения выпустила исправления безопасности для ошибки RCE максимальной серьезности (CVSS 10) в центре обработки данных и сервере Confluence (CVE-2023-22515), которая использовалась до установки исправления Спонсируемая Китаем усовершенствованная постоянная угроза (APT) отслеживается как Storm-0062. После раскрытия для него также быстро возникла череда экспериментальных эксплойтов, что открыло путь для массовых попыток эксплуатации.
Вскоре после этого, в ноябре, в центре обработки данных и на сервере Confluence возникла еще одна ошибка RCE, которая использовалась как «нулевой день» и первоначально имела рейтинг CVSS 9.1. Однако после выхода патчей наблюдается избыток активных программ-вымогателей и других кибератак. побудило Atlassian повысить уровень серьезности до 10..
В том же месяце Atlassian сообщила, что Bamboo непрерывная интеграция (CI) и непрерывная доставка (CD) сервер для разработки программного обеспечения, а также центр обработки данных и сервер Confluence были уязвимы для еще одной проблемы максимальной серьезности — на этот раз в Apache Software Foundation (ASF) Брокер сообщений ActiveMQ (CVE-2023-46604, CVSS 10). Жук, который был использован в качестве оружия ошибка «n-day», также был быстро снабжен кодом эксплойта PoC, позволяющим удаленному злоумышленнику выполнять произвольные команды в затронутых системах. Atlassian выпустила исправления для обеих платформ.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- :имеет
- :является
- $UP
- 000
- 000 клиентов
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- По
- Достигать
- активный
- актеры
- продвинутый
- консультативный
- пострадавших
- затрагивающий
- После
- снова
- Агент
- позволять
- Позволяющий
- позволяет
- причислены
- an
- и
- Анонимно
- Другой
- апаш
- приложение
- Применение
- Программы
- APT
- МЫ
- AS
- ASF
- Активы
- попытки
- подлинности
- Bamboo
- BE
- было
- между
- изоферменты печени
- брокер
- Ошибка
- ошибки
- by
- CAN
- CD
- Центр
- Circle
- облако
- код
- сотрудничество
- как
- спутник
- Компания
- слияние
- Коммутация
- (CIJ)
- Корпоративное
- может
- критической
- Клиенты
- кибератаки
- данным
- Центр обработки данных
- базы данных
- поставка
- Развитие
- различный
- раскрытие
- открытие
- Двери
- Предприятие
- средах
- особенно
- Даже
- выполнять
- выполнение
- существует
- Эксплуатировать
- эксплуатация
- Эксплуатируемый
- использует
- Избранное
- Файл
- исправления
- Что касается
- раньше
- Год основания
- 4
- от
- Привратник
- было
- Жесткий
- Есть
- Однако
- HTML
- HTTPS
- Гибридный
- ICON
- немедленно
- in
- включают
- В том числе
- вводить
- вход
- понимание
- пример
- интеграции.
- в
- вопрос
- Выпущен
- IT
- ЕГО
- JPG
- всего
- известный
- Поздно
- последний
- Библиотека
- Включенный в список
- Войти
- MacOS
- производитель
- Создание
- управление
- Масса
- сообщение
- Месяц
- БОЛЕЕ
- движение
- с разными
- НАСА
- Новые
- New York
- New York Times
- Ноябрь
- сейчас
- октябрь
- of
- on
- открытый
- первоначально
- Другое
- внешний
- страница
- мимо
- Патчи
- Патчи
- Заделка
- Мощение
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- PoC
- Популярное
- Предварительный
- привилегированный
- Пролог
- быстро
- вымогателей
- Читать
- выпустил
- удаленные
- Показали
- Прокат
- s
- то же
- Гол
- безопасность
- сервер
- обслуживание
- должен
- Software
- разработка программного обеспечения
- Кто-то
- строка
- последующее
- Поверхность
- система
- системы
- цель
- шаблон
- Тенденцию
- чем
- который
- Ассоциация
- The New York Times
- они
- этой
- угроза
- актеры угрозы
- Связанный
- время
- раз
- в
- инструментом
- вторник
- использование
- используемый
- Информация о пользователе
- утилита
- использовать
- разнообразие
- Уязвимости
- уязвимость
- Уязвимый
- законопроект
- Путь..
- Web-Based
- ЧТО Ж
- были
- , которые
- Дикий
- в
- еще
- йорк
- зефирнет