Event:

Cyber Future Event - 12 september

Lees verder

Pinewood Security Bulletin – Critical vulnerability in Atlassian Confluence

For English, see below.

Beschrijving

Er bevindt zich een ernstige kwetsbaarheid (CVE-2023-22527) in Atlassian Confluence Data Center en Server die kwaadwillenden kunnen misbruiken om op afstand willekeurige code uit te voeren op het kwetsbare systeem. Om misbruik te kunnen maken van de kwetsbaarheden hoeft een aanvaller zich niet te authenticeren, wat de kans op misbruik sterk vergroot.

Pinewood verwacht op korte termijn aanvalscode aangezien het type kwetsbaarheid (template injection) ook in het verleden vaak eenvoudig misbruikt is.

Kwetsbare versies

De kwetsbaarheid bevindt zich in versies van beide producten die voor 5 december 2023 zijn uitgebracht. Indien op het systeem een reguliere update van ná die datum is geïnstalleerd, is de kwetsbaarheid niet meer aanwezig. De onderstaande versies van Confluence Server en Data Center bevatten de genoemde kwetsbaarheid:

  • 8.0 (alle versies)
  • 8.1 (alle versies)
  • 8.2 (alle versies)
  • 8.3 (alle versies)
  • 8.4 (alle versies)
  • 8.5.0 t/m 8.5.3

Cloud-installaties, herkenbaar aan het atlassian.net-domein, zijn niet (meer) kwetsbaar.

Oplossingen en tijdelijke mitigaties

De kwetsbaarheid is verholpen in onderstaande versies die al december 2023 zijn uitgebracht:

  • Confluence Server en Data Center 8.5.4
  • Confluence Data Center 8.6.0
  • Confluence Data Center 8.7.1

Er zijn geen tijdelijke mitigaties bekend die misbruik van de kwetsbaarheid kunnen voorkomen.

Detectie van mogelijk misbruik

Atlassian geeft aan dat het lastig is om alle tekenen van mogelijk misbruik te beschrijven vanwege het feit dat er meerdere manieren voor misbruik bestaan.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

A critical vulnerability (CVE-2023-22527) was fixed in Atlassian Confluence Data Center and Server, which an attacker can exploit for remote code execution. Exploitation does not require authentication to the server, which increases the likelihood of exploitation.

Pinewood expects exploit code in the short term as this type of vulnerability (template injection) has proven to be easily exploitable in the past.

Vulnerable versions

The vulnerability exists in versions of the products released before 5 December 2023. If a regular update is installed on the system that was released after this date, the vulnerability is already patched. The following versions of Confluence Server and Data Center are impacted by the vulnerability:

  • 8.0 (all versions)
  • 8.1 (all versions)
  • 8.2 (all versions)
  • 8.3 (all versions)
  • 8.4 (all versions)
  • 8.5.0 up to and including 8.5.3

Cloud installations, identified by the atlassian.net domain, are not vulnerable (anymore).

Solutions and workarounds

The vulnerability is fixed in the following versions of Confluence which were already released in December 2023:

  • Confluence Server and Data Center 8.5.4
  • Confluence Data Center 8.6.0
  • Confluence Data Center 8.7.1

Detection of possible misuse

Atlassian states that the possibility of multiple entry points, along with chained attacks, makes it difficult to list all possible indicators of compromise.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 750 1331 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl