For English, see below.
BeschrijvingEr bevindt zich een kritieke kwetsbaarheid (CVE-2023-22515) in Atlassian Confluence Server en Atlassian Confluence Data Center waarvoor recent aanvalscode is gepubliceerd. De kwetsbaarheid maakt het mogelijk om een nieuw beheeraccount aan te maken en toegang te krijgen tot Confluence. Op basis van de publiek beschikbare aanvalscode is de inschatting van Pinewood dat de kwetsbaarheid eenvoudig te gebruiken is. Hiermee is de kans groot dat kwetsbare en via het internet bereikbare installaties via deze kwetsbaarheid gecompromitteerd worden of al gecompromitteerd zijn. Er zijn berichten dat een statelijke actor de kwetsbaarheid op beperkte schaal gebruikt heeft om toegang te krijgen tot vertrouwelijke informatie in Confluence, voordat de beveiligingsupdate beschikbaar gemaakt is. Kwetsbare versiesDe onderstaande versies van Confluence Server en Data Center bevatten de genoemde kwetsbaarheid:
Versies ouder dan 8.0.0 zijn niet kwetsbaar. Versies ouder dan 7.15 zijn End-of-Life (EOL). Cloud-installaties, herkenbaar aan het atlassian.net-domein, zijn niet (meer) kwetsbaar. Oplossingen en tijdelijke mitigatiesAtlassian heeft onderstaande versies van Confluence Server en Data Center uitgebracht om de betreffende kwetsbaarheid te verhelpen:
Voor zover bekend is de kwetsbaarheid (nog) niet opgelost is de laatste update binnen de 8.0, 8.1 en 8.2 versielijnen. Detectie van mogelijk misbruikHet installeren van een nieuwe versie zal een eventuele compromittatie niet ongedaan maken. Controleer daarom altijd op signalen van succesvol misbruik, zeker als de server bereikbaar is vanaf het internet. Atlassian geeft aan dat onderstaande events een indicatie zijn van een eerdere succesvolle aanval:
Meer informatie
VragenVoor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl. ===== ENGLISH ===== DescriptionThere is a critical vulnerability (CVE-2023-22515) in Atlassian Confluence Server and Atlassian Confluence Data Center for which attack code was recently published. The vulnerability creates a new admin account and gives access to information in Confluence. Based on the public Proof-of-Concept (PoC) code, Pinewood estimates that the vulnerability is easy to exploit. With this, there is a high probability that vulnerable and Internet-accessible installations will be compromised via this vulnerability or have already been compromised. There are reports that a state actor used the vulnerability on a limited scale to access confidential information in Confluence before the security update was made available. Vulnerable versionsThe following versions of Confluence Server and Data Center contain the listed vulnerability:
Versions older than 8.0.0 are not vulnerable. Versions older than 7.15 are End-of-Life (EOL). Cloud installations, identified by the atlassian.net domain, are not vulnerable (anymore). Solutions and workaroundsAtlassian has released the below versions of Confluence Server and Data Center to fix the affected vulnerability:
As far as we know, the vulnerability has not (yet) been fixed is the latest update within the 8.0, 8.1 and 8.2 version lines. Detection of possible misuseInstalling a new version will not undo any compromise. Therefore, always check for signs of successful abuse, especially if the server is accessible from the internet. Atlassian states that the events below are indicative of a previous successful attack:
More information
QuestionsFor questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 750 1331 and via soc@pinewood.nl. |