Atlassian Confluence RCE-Sicherheitslücke: CVE-2022-26134

Details zur Schwachstelle

Atlassian Confluence ist ein Tool, das kollaborative Dokumentation ermöglicht. Am 2. Juni wurden Informationen über das, was heute als CVE-2022-26134 bekannt ist, veröffentlicht. Am folgenden Wochenende wurde die Schwachstelle von verschiedenen Bedrohungsakteuren bei Angriffen ausgenutzt, und in kürzester Zeit wurden böswillige Akteure darauf aufmerksam.

Die Schwachstelle ermöglicht es nicht authentifizierten Remote-Angreifern, neue Administratorkonten zu erstellen, bevorrechtigte Befehle auszuführen und so die Kontrolle über die Server zu übernehmen.

Verschiedene Methoden wurden verwendet, um diverse Exploits für die Erstellung von Reverse Shells zu kreieren, erzwungene DNS-Anfragen auszuführen, Daten zu sammeln und neue Administratorkonten zu erstellen.

Ein Bedrohungsakteur würde die bösartige Payload im URI einer HTTP-Anfrage platzieren. Derzeit verwenden die meisten Proofs of Concept (POCs) die GET-Methode. Es scheint jedoch, dass jede Anforderungsmethode den gleichen Effekt hat, sogar eine ungültige Anforderungsmethode.

CVSS: 9,8 | Kritisch | Analyse ausstehend

CVE: CVE-2022-26134

Angriffe – Erkennung und Schutz

Die Lösung für diese Schwachstelle besteht darin, Confluence zu patchen. Atlassian gibt hierzu detaillierte Empfehlungen.

Die aktuellen Signaturmuster von Barracuda für die OS-Befehlsinjektion und andere Signaturen zur Befehlsinjektion stoppen Exploit-Versuche, die derzeit zu beobachten sind. Atlassian stellte zunächst ein Basismuster bereit, das von Kunden der Barracuda Web Application Firewall manuell angewendet werden kann. Auch wenn Atlassian die WAF-Regel nicht mehr empfiehlt, kann sie eine sichere und wirksame Abhilfemaßnahme für den Fall sein, dass Sie das Update nicht anwenden können.

Unser Team für Anwendungssicherheit ist dabei, eine neue Signatur einzuführen, um den oben beschriebenen manuellen Schritt zu automatisieren. Diese Signatur wird aufgrund der generischen Natur des Musters nicht automatisch im aktiven Modus angewendet. Jeder Kunde, der die Atlassian Confluence sichert, kann diese Signatur für die Anwendung aktivieren, und der Barracuda-Support steht Ihnen bei dieser Änderung zur Verfügung.

Um mehr über die neuen Signaturen und Einstellungen zu erfahren, die für diese Risikominderung erforderlich sind, lesen Sie bitte dieses Campus-Dokument.

Wenn Sie Hilfe zu diesen Einstellungen oder Fragen zu den Angriffsmustern benötigen, wenden Sie sich an den technischen Support von Barracuda Networks.