Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Pinewood Security Bulletin – Critical vulnerability in Confluence Server and Confluence Data Center

For English, see below.

Beschrijving

Er bevindt zich een kritieke kwetsbaarheid (CVE-2023-22515) in Atlassian Confluence Server en Atlassian Confluence Data Center waarvoor recent aanvalscode is gepubliceerd. De kwetsbaarheid maakt het mogelijk om een nieuw beheeraccount aan te maken en toegang te krijgen tot Confluence.

Op basis van de publiek beschikbare aanvalscode is de inschatting van Pinewood dat de kwetsbaarheid eenvoudig te gebruiken is. Hiermee is de kans groot dat kwetsbare en via het internet bereikbare installaties via deze kwetsbaarheid gecompromitteerd worden of al gecompromitteerd zijn.

Er zijn berichten dat een statelijke actor de kwetsbaarheid op beperkte schaal gebruikt heeft om toegang te krijgen tot vertrouwelijke informatie in Confluence, voordat de beveiligingsupdate beschikbaar gemaakt is.

Kwetsbare versies

De onderstaande versies van Confluence Server en Data Center bevatten de genoemde kwetsbaarheid:

  • 8.0.0 t/m 8.0.4
  • 8.1.0 t/m 8.1.4
  • 8.2.0 t/m 8.2.3
  • 8.3.0 t/m 8.3.2
  • 8.4.0 t/m 8.4.2
  • 8.5.0 t/m 8.5.1

Versies ouder dan 8.0.0 zijn niet kwetsbaar.

Versies ouder dan 7.15 zijn End-of-Life (EOL).

Cloud-installaties, herkenbaar aan het atlassian.net-domein, zijn niet (meer) kwetsbaar.

Oplossingen en tijdelijke mitigaties

Atlassian heeft onderstaande versies van Confluence Server en Data Center uitgebracht om de betreffende kwetsbaarheid te verhelpen:

  • 8.3.3 (en nieuwer)
  • 8.4.3 (en nieuwer)
  • 8.5.2 (en nieuwer)

Voor zover bekend is de kwetsbaarheid (nog) niet opgelost is de laatste update binnen de 8.0, 8.1 en 8.2 versielijnen.

Detectie van mogelijk misbruik

Het installeren van een nieuwe versie zal een eventuele compromittatie niet ongedaan maken. Controleer daarom altijd op signalen van succesvol misbruik, zeker als de server bereikbaar is vanaf het internet.

Atlassian geeft aan dat onderstaande events een indicatie zijn van een eerdere succesvolle aanval:

  • Onverwachte/onbekende gebruikers in de groep confluence-administrators.
  • Onverwachte/onbekende nieuw aangemaakte gebruikers.
  • Verzoeken voor /setup/*.action die te zien zijn in de access logs.
  • De aanwezigheid van /setup/setupadministrator.action in een exception message in het logbestand atlassian-confluence-security.log in de home-directory van Confluence.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

There is a critical vulnerability (CVE-2023-22515) in Atlassian Confluence Server and Atlassian Confluence Data Center for which attack code was recently published. The vulnerability creates a new admin account and gives access to information in Confluence.

Based on the public Proof-of-Concept (PoC) code, Pinewood estimates that the vulnerability is easy to exploit. With this, there is a high probability that vulnerable and Internet-accessible installations will be compromised via this vulnerability or have already been compromised.

There are reports that a state actor used the vulnerability on a limited scale to access confidential information in Confluence before the security update was made available.

Vulnerable versions

The following versions of Confluence Server and Data Center contain the listed vulnerability:

  • 8.0.0 up to and including 8.0.4
  • 8.1.0 up to and including 8.1.4
  • 8.2.0 up to and including 8.2.3
  • 8.3.0 up to and including 8.3.2
  • 8.4.0 up to and including 8.4.2
  • 8.5.0 up to and including 8.5.1

Versions older than 8.0.0 are not vulnerable.

Versions older than 7.15 are End-of-Life (EOL).

Cloud installations, identified by the atlassian.net domain, are not vulnerable (anymore).

Solutions and workarounds

Atlassian has released the below versions of Confluence Server and Data Center to fix the affected vulnerability:

  • 8.3.3 (and newer)
  • 8.4.3 (and newer)
  • 8.5.2 (and newer)

As far as we know, the vulnerability has not (yet) been fixed is the latest update within the 8.0, 8.1 and 8.2 version lines.

Detection of possible misuse

Installing a new version will not undo any compromise. Therefore, always check for signs of successful abuse, especially if the server is accessible from the internet.

Atlassian states that the events below are indicative of a previous successful attack:

  • Unexpected/unknown users in the confluence-administrators group.
  • Unexpected/unknown newly created users.
  • Requests for /setup/*.action showing up in the access logs.
  • The presence of /setup/setupadministrator.action in an exception message in the log file atlassian-confluence-security.log in the home directory of Confluence.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 750 1331 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl