Event:

Cyber Future Event - 12 september

Lees verder

Pinewood Security Bulletin – Active exploitation of vulnerability in Atlassian Confluence Data Center and Server

For English, see below.

Beschrijving

Er bevindt zich een kritieke kwetsbaarheid (CVE-2023-22518) in Atlassian Confluence Server en Atlassian Confluence Data Center waarvan aanvallers op dit moment actief misbruik maken. De kwetsbaarheid maakt het mogelijk om zonder authenticatie een reset uit te voeren van de Atlassian-database en een nieuw beheeraccount aan te maken. Het lijkt niet mogelijk om via deze kwetsbaarheid gevoelige informatie uit de bestaande Atlassian-database te verkrijgen. Atlassian heeft op 31 oktober 2023 patches uitgebracht voor deze kwetsbaarheid waarvoor nu ook exploitcode is verschenen.

Op basis van de publiek beschikbare aanvalscode is de inschatting van Pinewood dat de kwetsbaarheid eenvoudig te gebruiken is. Hiermee is de kans groot dat kwetsbare en via het internet bereikbare installaties via deze kwetsbaarheid gecompromitteerd worden of al gecompromitteerd zijn.

Let op: het betreft hier een andere kwetsbaarheid dan de kwetsbaarheid waarover wij op 12 oktober 2023 een security bulletin verstuurden (CVE-2023-22515).

Kwetsbare versies

De onderstaande versies van Confluence Server en Data Center bevatten de genoemde kwetsbaarheid:

  • 7.19.0 t/m 7.19.15
  • 8.0 (alle versies)
  • 8.1 (alle versies)
  • 8.2 (alle versies)
  • 8.3.0 t/m 8.3.3
  • 8.4.0 t/m 8.4.3
  • 8.5.0 t/m 8.5.2

Op basis van de door Atlassian aangeleverde omschrijving lijken alle versielijnen kwetsbaar te zijn, maar zijn er voor een aantal van deze versielijnen (8.0, 8.1, 8.2) nog geen updates beschikbaar.

Cloud-installaties, herkenbaar aan het atlassian.net-domein, zijn niet (meer) kwetsbaar.

Oplossingen en tijdelijke mitigaties

Atlassian heeft onderstaande versies van Confluence Server en Data Center uitgebracht om de betreffende kwetsbaarheid te verhelpen:

  • 7.19.16 (en nieuwer)
  • 8.3.4 (en nieuwer)
  • 8.4.4 en nieuwer)
  • 8.5.3 (en nieuwer)

Voor zover bekend is de kwetsbaarheid (nog) niet opgelost met updates voor de 8.0, 8.1 en 8.2 versielijnen. Atlassian adviseert dan ook gebruik te maken van een Long Term Support (LTS) versie van Confluence Server en/of Data Center (de 7.19 en 8.5 versielijnen).

Aangezien misbruik van de kwetsbaarheid leidt tot het verlies van de Atlassian-database is het tevens raadzaam om te zorgen voor een actuele backup van de database om hier in het geval van een succesvolle aanval op terug te kunnen vallen.

Detectie van mogelijk misbruik

Aangezien misbruik van de kwetsbaarheid zal leiden tot een reset van de Atlassian-database, zal misbruik van een productiesysteem zeker niet onopgemerkt blijven. Atlassian geeft aan dat de volgende signalen kunnen duiden op succesvol misbruik van deze kwetsbaarheid:

  • Verlies van data of sterk aangepaste data.
  • Verlies van toegang tot de URL waarop de Atlassian-instance draait.
  • Onmogelijkheid om met bekende credentials te authenticeren.
  • Aanwezigheid van verdachte bestanden in de folder <confluence-local-home>/temp.

Daarnaast bevatten diverse logbestanden op een gecompromitteerde server mogelijk aanwijzingen van het misbruik. Een overzicht van deze bestanden en de inhoud waarop men dient te zoeken, is terug te vinden in de FAQ van Atlassian.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Attackers are actively exploiting a critical vulnerability (CVE-2023-22518) in Atlassian Confluence Server and Atlassian Confluence Data Center. The vulnerability allows an attacker to reset the instance database and to create a new administrative account. It seems the vulnerability does not allow an attacker to gain access to the contents of the current database. Atlassian released patches for this vulnerability on October 31, 2023. Exploit code for this vulnerability was also recently published.

Based on the public Proof-of-Concept (PoC) code, Pinewood estimates that the vulnerability is easy to exploit. With this, there is a high probability that vulnerable and Internet-accessible installations will be compromised via this vulnerability or have already been compromised.

Note: the vulnerability described in this bulletin is a different one than the vulnerability that we described in a previous security bulletin on October 12, 2023 (CVE-2023-22515).

Vulnerable versions

The following versions of Confluence Server and Data Server contain the listed vulnerability:

  • 7.19.0 up to and including 7.19.15
  • 8.0 (all versions)
  • 8.1 (all versions)
  • 8.2 (all versions)
  • 8.3.0 up to and including 8.3.3
  • 8.4.0 up to and including 8.4.3
  • 8.5.0 up to and including 8.5.2

Based on the information from Atlassian, all version lines seem to be affected, but for some of these (8.0, 8.1, 8.2) no updates were released (yet).

Cloud installations, identified by the atlassian.net domain, are not vulnerable (anymore).

Solutions and workarounds

Atlassian has released the below versions of Confluence Server and Data Center to fix the affected vulnerability:

  • 7.19.16 (and newer)
  • 8.3.4 (and newer)
  • 8.4.4 (and newer)
  • 8.5.3 (and newer)

As far as we know, the vulnerability has not (yet) been fixed in the 8.0, 8.1 and 8.2 version lines.

Because successful exploitation leads to a reset of the Atlassian database, we recommend to make sure that an up-to-date backup of this database is available to restore any data from.

Detection of possible misuse

Because successful exploitation of this vulnerability will lead to a reset of the Atlassian database, this will surely be detected in a production environment. Atlassian describes the following symptoms that indicate exploitation of this vulnerability:

  • Observation of significant data loss.
  • Not able to connect to your instance’s URL anymore.
  • Not able to properly authenticate to the instance anymore.
  • If able to authenticate, the instance won’t have any content created and/or different content than it originally had.
  • Suspicious files and/or directories created under <confluence-local-home>/temp folder.

In addition, several log files on a compromised server may contain signs of the compromise. For a full list of log files and the contents that administrators should look for, see the FAQ released by Atlassian on this vulnerability.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 750 1331 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl