For English, see below.
BeschrijvingEr bevindt zich een kritieke kwetsbaarheid (CVE-2023-22518) in Atlassian Confluence Server en Atlassian Confluence Data Center waarvan aanvallers op dit moment actief misbruik maken. De kwetsbaarheid maakt het mogelijk om zonder authenticatie een reset uit te voeren van de Atlassian-database en een nieuw beheeraccount aan te maken. Het lijkt niet mogelijk om via deze kwetsbaarheid gevoelige informatie uit de bestaande Atlassian-database te verkrijgen. Atlassian heeft op 31 oktober 2023 patches uitgebracht voor deze kwetsbaarheid waarvoor nu ook exploitcode is verschenen. Op basis van de publiek beschikbare aanvalscode is de inschatting van Pinewood dat de kwetsbaarheid eenvoudig te gebruiken is. Hiermee is de kans groot dat kwetsbare en via het internet bereikbare installaties via deze kwetsbaarheid gecompromitteerd worden of al gecompromitteerd zijn. Let op: het betreft hier een andere kwetsbaarheid dan de kwetsbaarheid waarover wij op 12 oktober 2023 een security bulletin verstuurden (CVE-2023-22515). Kwetsbare versiesDe onderstaande versies van Confluence Server en Data Center bevatten de genoemde kwetsbaarheid:
Op basis van de door Atlassian aangeleverde omschrijving lijken alle versielijnen kwetsbaar te zijn, maar zijn er voor een aantal van deze versielijnen (8.0, 8.1, 8.2) nog geen updates beschikbaar. Cloud-installaties, herkenbaar aan het atlassian.net-domein, zijn niet (meer) kwetsbaar. Oplossingen en tijdelijke mitigatiesAtlassian heeft onderstaande versies van Confluence Server en Data Center uitgebracht om de betreffende kwetsbaarheid te verhelpen:
Voor zover bekend is de kwetsbaarheid (nog) niet opgelost met updates voor de 8.0, 8.1 en 8.2 versielijnen. Atlassian adviseert dan ook gebruik te maken van een Long Term Support (LTS) versie van Confluence Server en/of Data Center (de 7.19 en 8.5 versielijnen). Aangezien misbruik van de kwetsbaarheid leidt tot het verlies van de Atlassian-database is het tevens raadzaam om te zorgen voor een actuele backup van de database om hier in het geval van een succesvolle aanval op terug te kunnen vallen. Detectie van mogelijk misbruikAangezien misbruik van de kwetsbaarheid zal leiden tot een reset van de Atlassian-database, zal misbruik van een productiesysteem zeker niet onopgemerkt blijven. Atlassian geeft aan dat de volgende signalen kunnen duiden op succesvol misbruik van deze kwetsbaarheid:
Daarnaast bevatten diverse logbestanden op een gecompromitteerde server mogelijk aanwijzingen van het misbruik. Een overzicht van deze bestanden en de inhoud waarop men dient te zoeken, is terug te vinden in de FAQ van Atlassian. Meer informatie
VragenVoor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl. ===== ENGLISH ===== DescriptionAttackers are actively exploiting a critical vulnerability (CVE-2023-22518) in Atlassian Confluence Server and Atlassian Confluence Data Center. The vulnerability allows an attacker to reset the instance database and to create a new administrative account. It seems the vulnerability does not allow an attacker to gain access to the contents of the current database. Atlassian released patches for this vulnerability on October 31, 2023. Exploit code for this vulnerability was also recently published. Based on the public Proof-of-Concept (PoC) code, Pinewood estimates that the vulnerability is easy to exploit. With this, there is a high probability that vulnerable and Internet-accessible installations will be compromised via this vulnerability or have already been compromised. Note: the vulnerability described in this bulletin is a different one than the vulnerability that we described in a previous security bulletin on October 12, 2023 (CVE-2023-22515). Vulnerable versionsThe following versions of Confluence Server and Data Server contain the listed vulnerability:
Based on the information from Atlassian, all version lines seem to be affected, but for some of these (8.0, 8.1, 8.2) no updates were released (yet). Cloud installations, identified by the atlassian.net domain, are not vulnerable (anymore). Solutions and workaroundsAtlassian has released the below versions of Confluence Server and Data Center to fix the affected vulnerability:
As far as we know, the vulnerability has not (yet) been fixed in the 8.0, 8.1 and 8.2 version lines. Because successful exploitation leads to a reset of the Atlassian database, we recommend to make sure that an up-to-date backup of this database is available to restore any data from. Detection of possible misuseBecause successful exploitation of this vulnerability will lead to a reset of the Atlassian database, this will surely be detected in a production environment. Atlassian describes the following symptoms that indicate exploitation of this vulnerability:
In addition, several log files on a compromised server may contain signs of the compromise. For a full list of log files and the contents that administrators should look for, see the FAQ released by Atlassian on this vulnerability. More information
QuestionsFor questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 750 1331 and via soc@pinewood.nl. |