Atlassian Confluence RCE-Sicherheitslücke

Atlassian Confluence RCE-Sicherheitslücke: CVE-2022-26134

Druckfreundlich, PDF & E-Mail

Details zur Schwachstelle

Atlassian Confluence ist ein Tool, das kollaborative Dokumentation ermöglicht. Am 2. Juni wurden Informationen über das, was jetzt als CVE-2022-26134 bekannt ist, veröffentlicht. Am folgenden Wochenende wurde die Schwachstelle von verschiedenen Bedrohungsakteuren bei Angriffen ausgenutzt, und in kürzester Zeit wurden böswillige Akteure darauf aufmerksam.

Die Schwachstelle ermöglicht es nicht authentifizierten Remote-Angreifern, neue Administratorkonten zu erstellen, bevorrechtigte Befehle auszuführen und so die Kontrolle über die Server zu übernehmen.

Verschiedene Methoden wurden verwendet, um diverse Exploits für die Erstellung von Reverse Shells zu kreieren, erzwungene DNS-Anfragen auszuführen, Daten zu sammeln und neue Administratorkonten zu erstellen.

Ein Bedrohungsakteur würde die bösartige Payload im URI einer HTTP-Anfrage platzieren. Derzeit verwenden die meisten Proofs of Concept (POCs) die GET-Methode. Es scheint jedoch, dass jede Anforderungsmethode den gleichen Effekt hat, sogar eine ungültige Anforderungsmethode.

CVSS: 9.8 | Kritisch | Analyse ausstehend

CVE: CVE-2022-26134

Angriffe – Erkennung und Schutz

Die Lösung für diese Schwachstelle besteht darin, Confluence zu patchen. Atlassian stellt diesbezüglich ausführliche Empfehlungen bereit.

Die aktuellen Signaturmuster von Barracuda für die OS-Befehlsinjektion und andere Signaturen zur Befehlsinjektion stoppen Exploit-Versuche, die derzeit zu beobachten sind. Atlassian lieferte ein Basismuster, das von Kunden mit einer Barracuda Web Application Firewall zunächst manuell angewendet werden kann. Auch wenn Atlassian die WAF-Regel nicht mehr empfiehlt, kann sie eine sichere und wirksame Abhilfemaßnahme für den Fall sein, dass Sie das Update nicht anwenden können.

Unser Team für Anwendungssicherheit ist dabei, eine neue Signatur einzuführen, um den oben beschriebenen manuellen Schritt zu automatisieren. Diese Signatur wird aufgrund der generischen Natur des Musters nicht automatisch im aktiven Modus angewendet. Jeder Kunde, der die Atlassian Confluence sichert, kann diese Signatur für die Anwendung aktivieren, und der Barracuda-Support steht Ihnen bei dieser Änderung zur Verfügung.

Weitere Informationen zu den neuen Signaturen und Einstellungen, die für diese Risikominderung erforderlich sind, finden Sie in diesem Campus-Dokument.

Wenn Sie Hilfe bei diesen Einstellungen benötigen oder Fragen zu den Angriffsmustern haben, wenden Sie sich bitte an den technischen Support von Barracuda Networks.

Nach oben scrollen
Twittern
Teilen
Teilen