Kritieke zero-day kwetsbaarheid in Atlassian Confluence Server en Confluence Datacenter
Softwarebedrijf Atlassian heeft op 2 juni 2022 een beveiligingsadvies uitgebracht voor een nog niet eerder bekende kritieke kwetsbaarheid (CVE-2022-26134). Het gaat om een zogenoemde zero-day die betrekking heeft op alle ondersteunde versies van Atlassian Confluence Server en Confluence Datacenter. Volgens Atlassian is Atlassian Cloud niet kwetsbaar. Het NCSC heeft een beveiligingsadvies uitgebracht waarin de kwetsbaarheid wordt ingeschaald op High/High. Er is momenteel geen patch beschikbaar.
Door de kwetsbaarheid kan een kwaadwillende willekeurige code uitvoeren met rechten van de applicatie en zo ook toegang krijgen tot gevoelige gegevens binnen de scope van de getroffen installatie. Waarschijnlijk zijn op dit moment alle versies kwetsbaar zijn. Atlassian doet momenteel nader onderzoek naar wat de eerst bekende versie is die kwetsbaar is. Een proof-of-concept code is nog niet publiek beschikbaar.
Volexity, het bedrijf dat de kwetsbaarheid heeft ontdekt, geeft aan dat de kwetsbaarheid makkelijk te misbruiken is. Misbruik is op dit moment volgens Volexity beperkt waargenomen.
Mitigerende maatregelen
Atlassian verwacht dat er binnen 24 uur updates voor ondersteunde versies beschikbaar gemaakt zullen worden (einde van de dag op 3 juni Pacific Time). Het NCSC adviseert deze updates direct te implementeren zodra deze beschikbaar zijn. In de tussentijd adviseert Atlassian mitigerende maatregelen te treffen om de risico's te beperken. Allereerst wordt geadviseerd om externe toegang tot de Confluence Server en Confluence Data Center te verbreken of de applicatie uit te schakelen tot de update beschikbaar is. Indien dit niet mogelijk is, kan een Web Application Firewall (WAF) rule worden geïmplementeerd die URL's met ${ blokkeert. Dit is echter slechts een risicobeperkende maatregel. Ook wordt aangeraden netwerk verkeer te monitoren. Volexity heeft IOC’s en YARA rules gedeeld.
Het NCSC raadt aan, indien mogelijk, deze maatregelen op te volgen. Het is aan organisaties zelf om een afweging te maken met betrekking tot de impact hiervan op primaire processen. Het NCSC houdt de situatie omtrent deze kwetsbaarheid nauwlettend in de gaten en zal verdere relevante informatie publiceren op deze website.