ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ที่ไม่ได้รับการพิสูจน์ตัวตนระดับวิกฤตสูงสุดกำลังส่งผลกระทบต่อ Atlassian Confluence Data Center และ Confluence Server ในทุกเวอร์ชันที่เปิดตัวก่อนวันที่ 5 ธันวาคม องค์กรที่ไม่ได้รับแพตช์ควรเตรียมการป้องกันทุกอย่างตั้งแต่แคมเปญแรนซัมแวร์ไปจนถึงความพยายามในการจารกรรมทางไซเบอร์
ข้อผิดพลาด (CVE-2023-22527) ซึ่งมีคะแนนช่องโหว่-ความรุนแรง 10 เต็ม 10 ในระดับ CVSS v3 เป็นช่องโหว่การแทรกเทมเพลตที่ปูทางให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องบรรลุ RCE ในเวอร์ชัน 8.0.x, 8.1.x, 8.2.x, 8.3 x, 8.4.x และ 8.5.0 ถึง 8.5.3
Bug Plagues เวอร์ชันส่วนใหญ่ของการบรรจบกัน
องค์กรใดที่มีการอัปเกรดเป็น เวอร์ชัน Confluence ที่เผยแพร่ในการอัปเดตเดือนธันวาคมของบริษัท ชัดเจนแม้จะเพิ่งเปิดเผยบั๊กไปวันนี้ก็ตาม พร้อมด้วยช่องโหว่ที่ไม่รุนแรงหลายจุดที่เพิ่งแพตช์ใหม่ ประกาศด้านความปลอดภัยฉบับใหม่.
Atlassian ตั้งข้อสังเกตว่าอินสแตนซ์ที่หมดอายุการใช้งาน (เวอร์ชัน 8.4.5 และก่อนหน้า) จะได้รับผลกระทบเช่นกันและจะไม่ได้รับแพตช์
ไม่มีการบรรเทาหรือวิธีแก้ไขปัญหาเฉพาะหน้า ดังนั้นผู้ดูแลระบบควรใช้เวอร์ชันล่าสุดจากเดือนที่แล้วเพื่อให้ได้รับการปกป้องอย่างสมบูรณ์ แม้ว่าเวอร์ชันของ Confluence จะไม่ถูกเปิดเผยบนอินเทอร์เน็ตก็ตาม อินสแตนซ์คลาวด์ไม่ได้รับผลกระทบ
สำหรับผู้ที่ไม่สามารถแพตช์ Confluence Data Center และอินสแตนซ์เซิร์ฟเวอร์ได้ในทันที Atlassian แนะนำให้ลบระบบออกจากอินเทอร์เน็ตและสำรองข้อมูลไว้นอกสภาพแวดล้อม Confluence
การโจมตี Atlassian CVE-2023-22527 อาจเป็นการโจมตีในวงกว้าง
บริษัทยังแนะนำให้ติดตามกิจกรรมที่เป็นอันตรายที่อาจเกิดขึ้น (โดยธรรมชาติ) แต่ระบุไว้ในนั้น คำแนะนำด้านความปลอดภัยใน CVE-2024-22527 “ความเป็นไปได้ของจุดเข้าใช้งานหลายจุด พร้อมด้วยการโจมตีแบบโซ่ตรวน ทำให้เป็นการยากที่จะแสดงรายการตัวบ่งชี้ที่เป็นไปได้ทั้งหมดของการประนีประนอม”
ผู้ดูแลระบบควรทราบ: มีข้อบกพร่องของ Atlassian Confluence เป็นที่นิยมโดยทั่วไปในวงจรอาชญากรรมไซเบอร์เนื่องจากแพลตฟอร์มดังกล่าวเข้าถึงสภาพแวดล้อมเครือข่ายได้ลึก ซึ่งใช้สำหรับการทำงานร่วมกันข้ามองค์กร เวิร์กโฟลว์ และการพัฒนาซอฟต์แวร์ อื่น ข้อผิดพลาดร้ายแรง 10 เต็ม 10 ในเดือนพฤศจิกายน เต็มไปด้วยความพยายามแสวงหาผลประโยชน์ภายในไม่กี่วันหลังจากการเปิดเผย และมีแนวโน้มว่าจะเป็นเช่นนั้นสำหรับสิ่งนี้หากอดีตเป็นบทนำ กับ Atlassian ก็มักจะเป็นเช่นนั้น.
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/patch-max-critical-atlassian-bug-unauthenticated-rce
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 1
- 10
- 8
- a
- บรรลุ
- อยากทำกิจกรรม
- ที่ปรึกษา
- ได้รับผล
- กับ
- ทั้งหมด
- ช่วยให้
- ตาม
- ด้วย
- และ
- อื่น
- ใด
- ใช้
- เป็น
- การโจมตี
- ความพยายามในการ
- ใช้ได้
- กลับ
- BE
- ก่อน
- Bug
- เป็นโรคจิต
- แต่
- แคมเปญ
- CAN
- ศูนย์
- ถูกล่ามโซ่
- ชัดเจน
- เมฆ
- รหัส
- การทำงานร่วมกัน
- บริษัท
- การประนีประนอม
- ที่บรรจบกัน
- ได้
- วิกฤติ
- อาชญากรรม
- ข้อมูล
- ศูนย์ข้อมูล
- วัน
- ธันวาคม
- ธันวาคม
- ลึก
- พัฒนาการ
- ยาก
- การเปิดเผย
- การเข้า
- สิ่งแวดล้อม
- สภาพแวดล้อม
- แม้
- ทุกอย่าง
- การปฏิบัติ
- การแสวงหาผลประโยชน์
- ที่เปิดเผย
- สำหรับ
- สด
- ราคาเริ่มต้นที่
- อย่างเต็มที่
- กำหนด
- ถือ
- HTML
- HTTPS
- if
- ทันที
- ส่งผลกระทบต่อ
- in
- ตัวชี้วัด
- อินเทอร์เน็ต
- เข้าไป
- IT
- ITS
- jpg
- เพียงแค่
- ชื่อสกุล
- ล่าสุด
- น่าจะ
- รายการ
- ทำให้
- ที่เป็นอันตราย
- การตรวจสอบ
- เดือน
- มากที่สุด
- หลาย
- เครือข่าย
- ใหม่
- ไม่
- หมายเหตุ
- เด่น
- of
- on
- ONE
- or
- organizacja
- องค์กร
- ออก
- ด้านนอก
- อดีต
- ปะ
- แพทช์
- ปู
- ภัยพิบัติ
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ยอดนิยม
- ความเป็นไปได้
- เป็นไปได้
- ที่มีศักยภาพ
- เตรียมการ
- การเปิดฉาก
- การป้องกัน
- ransomware
- อันดับ
- ต้นน้ำ
- รับ
- แนะนำ
- การเผยแพร่
- รีโมท
- เอาออก
- s
- เดียวกัน
- ขนาด
- ความปลอดภัย
- เซิร์ฟเวอร์
- หลาย
- น่า
- So
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- ระบบ
- เอา
- เทมเพลต
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- นี้
- เหล่านั้น
- แต่?
- ตลอด
- ไปยัง
- ในวันนี้
- จริง
- ตรงไปตรงมา
- อัพเกรด
- มือสอง
- มักจะ
- รุ่น
- รุ่น
- ช่องโหว่
- ความอ่อนแอ
- คือ
- ทาง..
- ที่
- WHO
- จะ
- กับ
- ภายใน
- เวิร์กโฟลว์
- X
- ลมทะเล