Настав час знову виправити: чотири критичні вразливості безпеки в програмному забезпеченні Atlassian відкривають двері для віддаленого виконання коду (RCE) і подальшого бокового переміщення в корпоративному середовищі. Це лише останні помилки, які нещодавно виникли у співпраці виробника програмного забезпечення та платформ DevOps, які, як правило, є улюбленою мішенню для кібератак.
Серед вразливостей, які Atlassian видав у вівторок, виправлено:
-
CVE-2022-1471 (Оцінка серйозності вразливості CVSS 9.8 з 10): десеріалізація в ЗміяYAML бібліотеку, що впливає на численні програмні платформи Atlassian.
-
CVE-2023-22522 (CVSS 9): уразливість впровадження автентифікованого шаблону, що впливає на сервер Confluence та центр обробки даних. Згідно з Atlassian, хтось, увійшовши в систему, навіть анонімно, може вставити небезпечні дані користувача на сторінку Confluence і отримати RCE.
-
CVE-2023-22523 (CVSS 9.8): Привілейований RCE в інструменті мережевого сканування Assets Discovery для Jira Service Management Cloud, Server і Data Center. Згідно з консультацією Atlassian, «уразливість існує між програмою Assets Discovery (раніше відомою як Insight Discovery) і агентом Assets Discovery».
-
CVE-2023-22524 (CVSS 9.6): RCE у додатку Atlassian Companion для macOS, який використовується для редагування файлів у Confluence Data Center and Server. «Зловмисник може використовувати WebSockets, щоб обійти список блокувань Atlassian Companion, і MacOS Gatekeeper, щоб дозволити виконання коду», — йдеться в повідомленні.
Атласські помилки – це котяча м’ята для кібератак
Останні рекомендації з’явилися відразу після низки розкриттів помилок від Atlassian, які були пов’язані як з використанням нульового дня, так і після виправлення.
Програмне забезпечення Atlassian є популярною мішенню для зловмисників, особливо Confluence, яка є популярною веб-корпоративною вікіпедією, яка використовується для співпраці в хмарних і гібридних серверних середовищах. Він дозволяє одним натисканням підключитися до різноманітних баз даних, що робить його корисним для зловмисників. Більше 60,000 XNUMX клієнтів використовують Confluence, включаючи LinkedIn, NASA та New York Times.
Якщо минуле є прологом, адміністратори повинні негайно виправити останні помилки. Наприклад, у жовтні компанія-виробник програмного забезпечення випустила виправлення безпеки для помилки RCE максимального рівня серйозності (CVSS 10) у центрі обробки даних і сервері Confluence (CVE-2023-22515), яка використовувалася до виправлення Спонсорована Китаєм розширена постійна загроза (APT), яка відстежується як Storm-0062. Ряд експлойтів для підтвердження концепції також швидко з’явився для нього після розкриття, відкриваючи шлях для спроб масового використання.
Незабаром після цього, у листопаді, ще одна помилка RCE підняла голову в центрі обробки даних і сервері Confluence, який використовувався як нульовий день у дикій природі, спочатку внесений до списку з оцінкою 9.1 CVSS. Однак після випуску патчів спостерігалося надлишок активних програм-вимагачів та інших кібератак спонукало Atlassian підвищити оцінку тяжкості до 10.
Того ж місяця Atlassian виявив, що Bamboo безперервна інтеграція (CI) і безперервна доставка (CD) сервер для розробки програмного забезпечення, а також центр обробки даних і сервер Confluence були вразливі до ще однієї проблеми максимального рівня серйозності — цього разу в Apache Software Foundation (ASF) Брокер повідомлень ActiveMQ (CVE-2023-46604, CVSS 10). Жук, який став озброєнням помилка «n-day»., також було швидко забезпечено кодом експлойту PoC, що дозволяло віддаленому зловмиснику виконувати довільні команди в уражених системах. Atlassian випустив виправлення для обох платформ.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- : має
- :є
- $UP
- 000
- 000 клієнтів
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- За
- Achieve
- активний
- актори
- просунутий
- консультативний
- постраждалих
- зачіпає
- після
- знову
- Агент
- дозволяти
- Дозволити
- дозволяє
- Також
- an
- та
- Анонімно
- Інший
- Apache
- додаток
- додаток
- додатка
- APT
- ЕСТЬ
- AS
- ASF
- Активи
- Спроби
- автентифіковано
- Бамбук
- BE
- було
- між
- обидва
- брокер
- Помилка
- помилки
- by
- CAN
- CD
- Центр
- Коло
- хмара
- код
- співробітництво
- Приходити
- супутник
- компанія
- злиття
- Зв'язки
- безперервний
- Корпоративний
- може
- критичний
- Клієнти
- кібератаки
- дані
- Центр обробки даних
- базами даних
- доставка
- розробка
- різний
- розкриття
- відкриття
- Двері
- підприємство
- середовищах
- особливо
- Навіть
- виконувати
- виконання
- існує
- Експлуатувати
- експлуатація
- експлуатований
- подвигів
- Улюблений
- філе
- фіксований
- для
- раніше
- фонд
- чотири
- від
- воротар
- було
- Жорсткий
- Мати
- голова
- Однак
- HTML
- HTTPS
- гібрид
- ICON
- негайно
- in
- включати
- У тому числі
- вводити
- вхід
- розуміння
- екземпляр
- інтеграція
- в
- питання
- Випущений
- IT
- ЙОГО
- JPG
- просто
- відомий
- Пізно
- останній
- бібліотека
- Перераховані
- увійшли
- MacOS
- виробник
- Робить
- управління
- Маса
- повідомлення
- місяць
- більше
- руху
- множинний
- НАСА
- Нові
- Нью-Йорк
- Нью-Йорк Таймс
- Листопад
- зараз
- жовтень
- of
- on
- відкрити
- спочатку
- Інше
- з
- сторінка
- Минуле
- пластир
- Патчі
- Виправлення
- Мощення
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- PoC
- популярний
- попередній
- привілейовані
- Пролог
- швидко
- вимагачів
- Читати
- випущений
- віддалений
- Показали
- Прокат
- s
- то ж
- рахунок
- безпеку
- сервер
- обслуговування
- Повинен
- Софтвер
- розробка програмного забезпечення
- Хтось
- рядок
- наступні
- поверхню
- система
- Systems
- Мета
- шаблон
- як правило,
- ніж
- Що
- Команда
- The New York Times
- вони
- це
- загроза
- актори загроз
- Зв'язаний
- час
- times
- до
- інструмент
- Вівторок
- використання
- використовуваний
- користувач
- утиліта
- використовувати
- різноманітність
- Уразливості
- вразливість
- Вразливий
- було
- шлях..
- Web-Based
- ДОБРЕ
- були
- який
- Wild
- з
- в
- ще
- йорк
- зефірнет