立即修补：严重的 Atlassian 错误危及企业应用程序

是时候再次打补丁了：Atlassian 软件中的四个关键安全漏洞为远程代码执行 (RCE) 以及随后在企业环境中的横向移动打开了大门。它们只是软件制造商的协作和 DevOps 平台最近出现的最新错误，而这些平台往往是网络攻击者最喜欢的目标。

Atlassian 周二发布了修复程序，这些漏洞包括：

Atlassian Bug 是网络攻击者的陷阱

最新的建议是在 Atlassian 披露一系列错误之后发布的，这些错误与零日漏洞和补丁后利用有关。

Atlassian 软件是威胁行为者的热门目标，尤其是 Confluence，它是一个流行的基于 Web 的企业 wiki，用于在云和混合服务器环境中进行协作。它允许一键连接到各种不同的数据库，这使得它对攻击者来说具有无与伦比的实用性。超过 60,000 名客户使用 Confluence，其中包括 LinkedIn、NASA 和纽约时报。

如果过去是序幕，管理员应该立即修补最新的错误。例如，10 月份，该软件公司推出了针对 Confluence 数据中心和服务器中最严重 RCE 错误 (CVSS 2023) (CVE-22515-XNUMX) 的安全修复程序，该错误在修补之前已被漏洞利用。 中国资助的高级持续威胁 (APT) 被追踪为 Storm-0062。一系列概念验证漏洞在披露后也迅速出现，为大规模利用尝试铺平了道路。

不久之后，9.1 月，Confluence 数据中心和服务器中出现了另一个 RCE 漏洞，该漏洞已被用作零日漏洞，最初的 CVSS 分数为 XNUMX。然而，补丁发布后，大量活跃的勒索软件和其他网络攻击 促使 Atlassian 将严重性评分提高到 10.

同月，Atlassian 透露 Bamboo 持续集成（CI）和持续交付（CD） 用于软件开发的服务器以及 Confluence 数据中心和服务器都容易受到另一个最严重问题的影响——这次是在 Apache 软件基金会 (ASF) 的 ActiveMQ 消息代理（CVE-2023-46604、CVSS 10）。该错误被武器化为 “n 天”错误，还很快获得了 PoC 漏洞代码，允许远程攻击者在受影响的系统上执行任意命令。 Atlassian 已发布针对这两个平台的修复程序。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps