是时候再次打补丁了:Atlassian 软件中的四个关键安全漏洞为远程代码执行 (RCE) 以及随后在企业环境中的横向移动打开了大门。它们只是软件制造商的协作和 DevOps 平台最近出现的最新错误,而这些平台往往是网络攻击者最喜欢的目标。
Atlassian 周二发布了修复程序,这些漏洞包括:
-
CVE-2022-1471 (CVSS 漏洞严重性评分为 9.8(满分 10)):反序列化 蛇YAML 库,影响多个 Atlassian 软件平台。
-
CVE-2023-22522 (CVSS 9):经过身份验证的模板注入漏洞,影响 Confluence 服务器和数据中心。据 Atlassian 称,登录系统的人,即使是匿名的,也可以将不安全的用户输入注入 Confluence 页面并实现 RCE。
-
CVE-2023-22523 (CVSS 9.8):Jira Service Management Cloud、服务器和数据中心的资产发现网络扫描工具中的特权 RCE。根据 Atlassian 的公告,“该漏洞存在于 Assets Discovery 应用程序(以前称为 Insight Discovery)和 Assets Discovery 代理之间。”
-
CVE-2023-22524 (CVSS 9.6):macOS 版 Atlassian Companion 应用程序中的 RCE,用于在 Confluence 数据中心和服务器中编辑文件。 “攻击者可以利用 WebSockets 绕过 Atlassian Companion 的阻止列表和 MacOS Gatekeeper 以允许执行代码,”该公告中写道。
Atlassian Bug 是网络攻击者的陷阱
最新的建议是在 Atlassian 披露一系列错误之后发布的,这些错误与零日漏洞和补丁后利用有关。
Atlassian 软件是威胁行为者的热门目标,尤其是 Confluence,它是一个流行的基于 Web 的企业 wiki,用于在云和混合服务器环境中进行协作。它允许一键连接到各种不同的数据库,这使得它对攻击者来说具有无与伦比的实用性。超过 60,000 名客户使用 Confluence,其中包括 LinkedIn、NASA 和纽约时报。
如果过去是序幕,管理员应该立即修补最新的错误。例如,10 月份,该软件公司推出了针对 Confluence 数据中心和服务器中最严重 RCE 错误 (CVSS 2023) (CVE-22515-XNUMX) 的安全修复程序,该错误在修补之前已被漏洞利用。 中国资助的高级持续威胁 (APT) 被追踪为 Storm-0062。一系列概念验证漏洞在披露后也迅速出现,为大规模利用尝试铺平了道路。
不久之后,9.1 月,Confluence 数据中心和服务器中出现了另一个 RCE 漏洞,该漏洞已被用作零日漏洞,最初的 CVSS 分数为 XNUMX。然而,补丁发布后,大量活跃的勒索软件和其他网络攻击 促使 Atlassian 将严重性评分提高到 10.
同月,Atlassian 透露 Bamboo 持续集成(CI)和持续交付(CD) 用于软件开发的服务器以及 Confluence 数据中心和服务器都容易受到另一个最严重问题的影响——这次是在 Apache 软件基金会 (ASF) 的 ActiveMQ 消息代理(CVE-2023-46604、CVSS 10)。该错误被武器化为 “n 天”错误,还很快获得了 PoC 漏洞代码,允许远程攻击者在受影响的系统上执行任意命令。 Atlassian 已发布针对这两个平台的修复程序。
- :具有
- :是
- $UP
- 000
- 000客户
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- 根据
- 要积极。
- 演员
- 高级
- advisory
- 影响
- 影响
- 后
- 再次
- 经纪人
- 让
- 允许
- 允许
- 还
- an
- 和
- 匿名
- 另一个
- 阿帕奇
- 应用
- 应用领域
- 应用
- APT
- 保健
- AS
- ASF
- 办公室文员:
- 尝试
- 认证
- 竹
- BE
- 很
- 之间
- 都
- 经纪人
- 问题
- 虫子
- by
- CAN
- CD
- Center
- 圆
- 云端技术
- 码
- 合作
- 如何
- 伴侣
- 公司
- 合流
- 连接
- 连续
- 公司
- 可以
- 危急
- 合作伙伴
- 网络攻击
- data
- 数据中心
- 数据库
- 交货
- 研发支持
- 不同
- 泄露
- 发现
- 门
- 企业
- 环境中
- 特别
- 甚至
- 执行
- 执行
- 存在
- 利用
- 开发
- 剥削
- 功勋
- 喜爱
- 文件
- 固定
- 针对
- 以前
- 基金会
- 四
- 止
- 看门人
- 民政事务总署
- 硬
- 有
- 头
- 但是
- HTML
- HTTPS
- 杂交种
- ICON
- 立即
- in
- 包括
- 包含
- 注入
- 输入
- 洞察
- 例
- 积分
- 成
- 问题
- 发行
- IT
- 它的
- JPG
- 只是
- 已知
- 晚了
- 最新
- 自学资料库
- 已发布
- 记录
- MacOS的
- 制造者
- 制作
- 颠覆性技术
- 质量
- 的话
- 月
- 更多
- 运动
- 多
- 美国宇航局
- 全新
- 纽约
- “纽约时报”
- 十一月
- 现在
- 十月
- of
- on
- 打开
- 本来
- 其他名称
- 输出
- 页
- 过去
- 打补丁
- 补丁
- 修补
- 铺路
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 的PoC
- 热门
- 先
- 特权
- 序幕
- 很快
- 勒索
- 阅读
- 发布
- 远程
- 揭密
- 轧制
- s
- 同
- 得分了
- 保安
- 服务器
- 服务
- 应该
- 软件
- 软件开发
- 有人
- 串
- 随后
- 磁化面
- 系统
- 产品
- 目标
- 模板
- 易于
- 比
- 这
- 纽约时报
- 他们
- Free Introduction
- 威胁
- 威胁者
- 绑
- 次
- 时
- 至
- 工具
- 周二
- 使用
- 用过的
- 用户
- 效用
- 利用
- 各种
- 漏洞
- 漏洞
- 脆弱
- 是
- 方法..
- 基于网络的
- 井
- 为
- 这
- Wild!!!
- 中
- 但
- 纽约
- 和风网