Kritisk 0-day-sårbarhet i Confluence

Atlassian har tillkännagett en kritisk 0-day-sårbarhet i Confluence Server och Data Center. Sårbarheten kan göra det möjligt för en obehörig att fjärrköra godtycklig kod och utnyttjas aktivt. [1,2,3] Sårbarheten har fått CVE-2022-26134.

Det finns för närvarande ingen säkerhetsuppdatering tillgänglig men tillverkaren, Atlassian, säger på sin hemsida att en patch till supporterade versioner kommer finnas tillgänglig inom 24 timmar (c:a 02:00 4/6 CET).[1]

Uppdatering 2022-06-04

Atlassian har nu tagit fram patchar för alla supporterade versioner av Confluence. [1]

Uppdatering 2022-06-09

SANS har publicerat en artikel med information om hur man kan eftersöka sårbara system i sin miljö samt vad man kan söka efter i sina loggar. [5]

Påverkade produkter

Confluence Server (alla versioner)Confluence Data Center (alla versioner)

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara system omgående. Samt att gå igenom tidigare sårbara exponerade system efter tecken på att dessa blivit komprometterande. [4]

Källor

[1] https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

[2] https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

[3] https://www.cisa.gov/uscert/ncas/current-activity/2022/06/02/atlassian-releases-security-updates-confluence-server-and-data

[4] https://github.com/volexity/threat-intel/tree/main/2022/2022-06-02%20Active%20Exploitation%20Of%20Confluence%200-day/indicators

[5] https://isc.sans.edu/forums/diary/Atlassian+Confluence+Exploits+Seen+By+Our+Honeypots+CVE202226134/28722/