Максимально критическая уязвимость удаленного выполнения кода без аутентификации (RCE) затрагивает Atlassian Confluence Data Center и Confluence Server во всех версиях, выпущенных до 5 декабря. Неисправленные организации должны быть готовы защищаться от всего: от кампаний с программами-вымогателями до попыток кибершпионажа.
Ошибка (CVE-2023-22527), которая имеет рейтинг серьезности уязвимости 10 из 10 по шкале CVSS v3, представляет собой уязвимость внедрения шаблона, которая открывает путь неаутентифицированным злоумышленникам для достижения RCE в версиях 8.0.x, 8.1.x, 8.2.x, 8.3. x, 8.4.x и версии с 8.5.0 по 8.5.3.
Ошибки, с которыми сталкивается большинство версий Confluence
Любая организация, перешедшая на Версии Confluence, выпущенные в декабрьском обновлении компании все в порядке, хотя ошибка была обнаружена только сегодня вместе с несколькими менее серьезными уязвимостями, которые недавно были исправлены в свежий бюллетень по безопасности.
В Atlassian отметили, что экземпляры с истекшим сроком эксплуатации (версия 8.4.5 и более ранние) также затронуты и не получат исправлений.
Никаких средств или обходных путей не существует, поэтому администраторам следует применять последние версии прошлого месяца, чтобы быть полностью защищенными, даже если их версии Confluence не доступны в Интернете. Облачные экземпляры не затронуты.
Тем, кто не может немедленно исправить свои экземпляры Confluence Data Center и Server, Atlassian рекомендует удалить свои системы из Интернета и создать резервные копии своих данных за пределами среды Confluence.
Атаки Atlassian CVE-2023-22527 могут носить широкомасштабный характер
Компания также предложила отслеживать любую потенциальную вредоносную деятельность (естественно), но отметила в своем рекомендации по безопасности по CVE-2024-22527 что «возможность множественных точек входа наряду с цепными атаками затрудняет перечисление всех возможных индикаторов компрометации».
Администраторам следует принять к сведению: ошибки Atlassian Confluence обычно популярен в сфере киберпреступности, учитывая, что платформа глубоко проникает в сетевые среды и используется для межкорпоративной совместной работы, рабочих процессов и разработки программного обеспечения. Другой 10 из 10 критических ошибок в ноябре был охвачен попытками эксплуатации в течение нескольких дней после его раскрытия, и, вероятно, то же самое будет справедливо и для этого, если прошлое является прологом; с Атласиан, обычно это.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/patch-max-critical-atlassian-bug-unauthenticated-rce
- :имеет
- :является
- :нет
- $UP
- 1
- 10
- 8
- a
- Достигать
- деятельность
- консультативный
- пострадавших
- против
- Все
- позволяет
- вдоль
- причислены
- и
- Другой
- любой
- Применить
- МЫ
- нападки
- попытки
- доступен
- назад
- BE
- до
- Ошибка
- ошибки
- но
- Кампании
- CAN
- Центр
- прикованный
- Очистить
- облако
- код
- сотрудничество
- Компания
- скомпрометированы
- слияние
- может
- критической
- киберпреступности
- данным
- Центр обработки данных
- Дней
- декабрь
- Декабрь
- глубоко
- Развитие
- трудный
- раскрытие
- запись
- Окружающая среда
- средах
- Даже
- многое
- выполнение
- эксплуатация
- подвергаться
- Что касается
- свежий
- от
- полностью
- данный
- держать
- HTML
- HTTPS
- if
- немедленно
- воздействуя
- in
- индикаторы
- Интернет
- в
- IT
- ЕГО
- JPG
- всего
- Фамилия
- последний
- Вероятно
- Список
- ДЕЛАЕТ
- злонамеренный
- Мониторинг
- Месяц
- самых
- с разными
- сеть
- вновь
- нет
- в своих размышлениях
- отметил,
- of
- on
- ONE
- or
- организация
- организации
- внешний
- внешнюю
- мимо
- Патчи
- Патчи
- обломки
- Язвы
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- Популярное
- возможность
- возможное
- потенциал
- Подготовить
- Пролог
- защищенный
- вымогателей
- рейтинг
- доходит до
- Получать
- рекомендует
- выпустил
- удаленные
- удаление
- s
- то же
- Шкала
- безопасность
- сервер
- несколько
- должен
- So
- Software
- разработка программного обеспечения
- системы
- взять
- шаблон
- который
- Ассоциация
- их
- они
- этой
- те
- хоть?
- Через
- в
- сегодня
- правда
- незатронутый
- повышен
- используемый
- обычно
- версия
- версии
- Уязвимости
- уязвимость
- законопроект
- Путь..
- , которые
- КТО
- будете
- в
- рабочий
- X
- зефирнет