ถึงเวลาแก้ไขอีกครั้ง: ช่องโหว่ด้านความปลอดภัยที่สำคัญสี่ช่องโหว่ในซอฟต์แวร์ Atlassian เปิดประตูสู่การเรียกใช้โค้ดจากระยะไกล (RCE) และการเคลื่อนไหวด้านข้างที่ตามมาภายในสภาพแวดล้อมขององค์กร สิ่งเหล่านี้เป็นเพียงข้อบกพร่องล่าสุดที่เกิดขึ้นในการทำงานร่วมกันของผู้ผลิตซอฟต์แวร์และแพลตฟอร์ม DevOps ซึ่งมีแนวโน้มเป็นเป้าหมายยอดนิยมสำหรับผู้โจมตีทางไซเบอร์
ช่องโหว่ที่ Atlassian ออกแก้ไขเมื่อวันอังคาร ได้แก่:
-
CVE-2022-1471 (คะแนนความรุนแรงของช่องโหว่ CVSS 9.8 จาก 10): การดีซีเรียลไลซ์ใน งูYAML ไลบรารี่ซึ่งส่งผลกระทบต่อแพลตฟอร์มซอฟต์แวร์ Atlassian หลายแพลตฟอร์ม
-
CVE-2023-22522 (CVSS 9): ช่องโหว่การแทรกเทมเพลตที่ผ่านการรับรองความถูกต้องซึ่งส่งผลต่อ Confluence Server และ Data Center บุคคลที่เข้าสู่ระบบแม้จะไม่เปิดเผยตัวตนก็สามารถแทรกข้อมูลผู้ใช้ที่ไม่ปลอดภัยลงในหน้า Confluence และบรรลุ RCE ตาม Atlassian
-
CVE-2023-22523 (CVSS 9.8): RCE ที่ได้รับสิทธิพิเศษในเครื่องมือสแกนเครือข่าย Assets Discovery สำหรับ Jira Service Management Cloud, Server และ Data Center ตามคำแนะนำของ Atlassian “มีช่องโหว่เกิดขึ้นระหว่างแอปพลิเคชัน Assets Discovery (เดิมชื่อ Insight Discovery) และตัวแทน Assets Discovery”
-
CVE-2023-22524 (CVSS 9.6): RCE ในแอพ Atlassian Companion สำหรับ macOS ซึ่งใช้สำหรับการแก้ไขไฟล์ใน Confluence Data Center และ Server “ผู้โจมตีสามารถใช้ WebSockets เพื่อเลี่ยงผ่านรายการบล็อกของ Atlassian Companion และ MacOS Gatekeeper เพื่ออนุญาตการเรียกใช้โค้ด” คำแนะนำอ่าน
Atlassian Bugs เป็นหญ้าชนิดหนึ่งสำหรับนักโจมตีทางไซเบอร์
คำแนะนำล่าสุดเกิดขึ้นอย่างหนักหลังจากการเปิดเผยข้อบกพร่องจำนวนมากจาก Atlassian ซึ่งเชื่อมโยงกับการหาประโยชน์ทั้งแบบซีโรเดย์และหลังแพตช์
ซอฟต์แวร์ Atlassian เป็นเป้าหมายยอดนิยมสำหรับผู้แสดงภัยคุกคาม โดยเฉพาะ Confluence ซึ่งเป็นวิกิองค์กรบนเว็บยอดนิยมที่ใช้สำหรับการทำงานร่วมกันในสภาพแวดล้อมคลาวด์และเซิร์ฟเวอร์ไฮบริด ช่วยให้สามารถเชื่อมต่อกับฐานข้อมูลต่างๆ ได้ในคลิกเดียว ทำให้ยูทิลิตี้สำหรับผู้โจมตีไม่ได้รับผลกระทบ ลูกค้ามากกว่า 60,000 รายใช้ Confluence รวมถึง LinkedIn, NASA และ New York Times
หากอดีตเป็นบทนำ ผู้ดูแลระบบควรแก้ไขข้อบกพร่องล่าสุดทันที ตัวอย่างเช่น ในเดือนตุลาคม บริษัทซอฟต์แวร์ได้เปิดตัวการแก้ไขด้านความปลอดภัยสำหรับจุดบกพร่อง RCE ระดับความรุนแรงสูงสุด (CVSS 10) ใน Confluence Data Center and Server (CVE-2023-22515) ซึ่งถูกนำไปใช้ประโยชน์ก่อนที่จะทำการแพตช์โดย ภัยคุกคามขั้นสูงแบบถาวร (APT) ที่สนับสนุนโดยจีนถูกติดตามในชื่อ Storm-0062. การแสวงหาประโยชน์จากการพิสูจน์แนวคิดจำนวนหนึ่งยังถูกครอบตัดอย่างรวดเร็วหลังจากการเปิดเผย ซึ่งปูทางไปสู่ความพยายามในการแสวงหาผลประโยชน์ในวงกว้าง
หลังจากนั้นไม่นานในเดือนพฤศจิกายน ข้อผิดพลาด RCE อีกประการหนึ่งก็กลับมาระบาดหนักใน Confluence Data Center and Server ที่ถูกนำไปใช้ประโยชน์แบบซีโรเดย์แบบปกติ ซึ่งเดิมระบุไว้ด้วยคะแนน CVSS 9.1 อย่างไรก็ตาม แรนซั่มแวร์ที่ทำงานอยู่จำนวนมากและการโจมตีทางไซเบอร์อื่นๆ หลังจากแพตช์ถูกปล่อยออกมา แจ้งให้ Atlassian เพิ่มคะแนนความรุนแรงเป็น 10.
ในเดือนเดียวกันนั้นเอง Atlassian เปิดเผยว่าไม้ไผ่ การบูรณาการอย่างต่อเนื่อง (CI) และการส่งมอบอย่างต่อเนื่อง (CD) เซิร์ฟเวอร์สำหรับการพัฒนาซอฟต์แวร์ เช่นเดียวกับ Confluence Data Center และเซิร์ฟเวอร์ ต่างก็เสี่ยงต่อปัญหาความรุนแรงสูงสุดอีกประการหนึ่ง คราวนี้อยู่ใน Apache Software Foundation's (ASF) นายหน้าข้อความ ActiveMQ (CVE-2023-46604, CVSS 10). แมลงซึ่งติดอาวุธเป็น ข้อผิดพลาด "n-day"ได้รับการตกแต่งอย่างรวดเร็วด้วยโค้ดการหาประโยชน์จาก PoC ช่วยให้ผู้โจมตีจากระยะไกลสามารถรันคำสั่งตามอำเภอใจบนระบบที่ได้รับผลกระทบ Atlassian ได้เปิดตัวการแก้ไขสำหรับทั้งสองแพลตฟอร์ม
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- :มี
- :เป็น
- $ ขึ้น
- 000
- ลูกค้า 000 ราย
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- ตาม
- บรรลุ
- คล่องแคล่ว
- นักแสดง
- สูง
- ที่ปรึกษา
- ได้รับผล
- น่าสงสาร
- หลังจาก
- อีกครั้ง
- ตัวแทน
- อนุญาต
- การอนุญาต
- ช่วยให้
- ด้วย
- an
- และ
- โดยไม่ระบุชื่อ
- อื่น
- อาปาเช่
- app
- การใช้งาน
- ปพลิเคชัน
- APT
- เป็น
- AS
- ASF
- สินทรัพย์
- ความพยายามในการ
- รับรองความถูกต้อง
- ไม้ไผ่
- BE
- รับ
- ระหว่าง
- ทั้งสอง
- โบรกเกอร์
- Bug
- เป็นโรคจิต
- by
- CAN
- CD
- ศูนย์
- วงกลม
- เมฆ
- รหัส
- การทำงานร่วมกัน
- อย่างไร
- สหาย
- บริษัท
- ที่บรรจบกัน
- การเชื่อมต่อ
- ต่อเนื่องกัน
- ไทม์ไลน์การ
- ได้
- วิกฤติ
- ลูกค้า
- cyberattacks
- ข้อมูล
- ศูนย์ข้อมูล
- ฐานข้อมูล
- การจัดส่ง
- พัฒนาการ
- ต่าง
- การเปิดเผย
- การค้นพบ
- ประตู
- Enterprise
- สภาพแวดล้อม
- โดยเฉพาะอย่างยิ่ง
- แม้
- ดำเนินการ
- การปฏิบัติ
- ที่มีอยู่
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- การหาประโยชน์
- ที่ชื่นชอบ
- เนื้อไม่มีมัน
- แก้ไข
- สำหรับ
- สมัยก่อน
- รากฐาน
- สี่
- ราคาเริ่มต้นที่
- ยาม
- มี
- ยาก
- มี
- หัว
- อย่างไรก็ตาม
- HTML
- HTTPS
- เป็นลูกผสม
- ICON
- ทันที
- in
- ประกอบด้วย
- รวมทั้ง
- ฉีด
- อินพุต
- ความเข้าใจ
- ตัวอย่าง
- บูรณาการ
- เข้าไป
- ปัญหา
- ทุนที่ออก
- IT
- ITS
- jpg
- เพียงแค่
- ที่รู้จักกัน
- ปลาย
- ล่าสุด
- ห้องสมุด
- จดทะเบียน
- เข้า
- MacOS
- เครื่องชง
- การทำ
- การจัดการ
- มวล
- ข่าวสาร
- เดือน
- ข้อมูลเพิ่มเติม
- การเคลื่อนไหว
- หลาย
- นาซา
- ใหม่
- นิวยอร์ก
- นิวยอร์กไทม์ส
- พฤศจิกายน
- ตอนนี้
- ตุลาคม
- of
- on
- เปิด
- แต่เดิม
- อื่นๆ
- ออก
- หน้า
- อดีต
- ปะ
- แพทช์
- ปะ
- ปู
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- PoC
- ยอดนิยม
- ก่อน
- ได้รับการยกเว้น
- การเปิดฉาก
- อย่างรวดเร็ว
- ransomware
- อ่าน
- การเผยแพร่
- รีโมท
- เปิดเผย
- รีด
- s
- เดียวกัน
- คะแนน
- ความปลอดภัย
- เซิร์ฟเวอร์
- บริการ
- น่า
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- บางคน
- เชือก
- ภายหลัง
- พื้นผิว
- ระบบ
- ระบบ
- เป้า
- เทมเพลต
- มีแนวโน้ม
- กว่า
- ที่
- พื้นที่
- นิวนิวยอร์กไทม์
- พวกเขา
- นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ผูก
- เวลา
- ครั้ง
- ไปยัง
- เครื่องมือ
- อังคาร
- ใช้
- มือสอง
- ผู้ใช้งาน
- ประโยชน์
- นำไปใช้
- ความหลากหลาย
- ช่องโหว่
- ความอ่อนแอ
- อ่อนแอ
- คือ
- ทาง..
- web-based
- ดี
- คือ
- ที่
- ป่า
- กับ
- ภายใน
- ยัง
- นิวยอร์ก
- ลมทะเล