Confluence Zero-Day Kerentanan

Atlassian pada hari Jumat meluncurkan perbaikan untuk mengatasi kelemahan keamanan kritis yang mempengaruhi produk Confluence Server dan Pusat Data yang telah berada di bawah eksploitasi aktif oleh aktor ancaman untuk mencapai eksekusi kode jarak jauh.

Dilacak sebagai CVE-2022-26134masalahnya mirip dengan CVE-2021-26084 — kelemahan keamanan lain yang ditambal oleh perusahaan perangkat lunak Australia pada Agustus 2021.

Keduanya berhubungan dengan kasus injeksi Object-Graph Navigation Language (OGNL) yang dapat dieksploitasi untuk mencapai eksekusi kode arbitrer pada instance Confluence Server atau Data Center.

Keamanan cyber

Kekurangan yang baru ditemukan berdampak pada semua versi Confluence Server dan Data Center yang didukung, dengan setiap versi setelah 1.3.0 juga terpengaruh. Ini telah diselesaikan dalam versi berikut –

  • 7.4.17
  • 7.13.7
  • 7.14.3
  • 7.15.2
  • 7.16.4
  • 7.17.4
  • 7.18.1

Menurut statistik dari platform penemuan aset internet Censys, ada sekitar 9.325 layanan di 8.347 host berbeda yang menjalankan versi rentan dari Atlassian Confluence, dengan sebagian besar instance berlokasi di AS, Cina, Jerman, Rusia, dan Prancis.

Bukti eksploitasi aktif kelemahan tersebut, kemungkinan dilakukan oleh penyerang asal China, terungkap setelah perusahaan keamanan siber Volexity menemukan kelemahan tersebut selama akhir pekan Memorial Day di AS selama penyelidikan tanggapan insiden.

Keamanan cyber

“Industri/vertikal yang ditargetkan cukup tersebar luas,” Steven Adair, pendiri dan presiden Volexity, dikatakan dalam serangkaian tweet. “Ini adalah gratis untuk semua di mana eksploitasi tampaknya terkoordinasi.”

“Jelas bahwa beberapa kelompok ancaman dan aktor individu memiliki eksploitasi dan telah menggunakannya dengan cara yang berbeda. Beberapa cukup ceroboh dan yang lain sedikit lebih tersembunyi.”

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA), selain menambahkan bug zero-day ke Katalog Kerentanan yang Diketahui, juga mendesak lembaga federal untuk segera memblokir semua lalu lintas internet ke dan dari produk yang terpengaruh dan menerapkan patch atau menghapus contoh pada 6 Juni 2022, 5 sore ET.