Kritiska sårbarheter i Confluence-produkter

Atlassian har publicerat sina säkerhetsuppdateringar för januari, som hanterar flera kritiska sårbarheter i diverse produkter. Bland sårbarheterna finns en i Confluence Data Center och Confluence Server, som fått CVSS-klassificering 10 av 10 möjliga. [1, 2]

Sårbarheten CVE-2023-22527 kan utnyttjas för fjärrkörning av godtycklig kod (RCE, remote code execution) i drabbade system som använder inaktuella versioner av Confluence Data Center och Server. [2]

Atlassian har även publicerat säkerhetsuppdateringar för ytterligare fem kritiska RCE-sårbarheter i produkter som Confluence Data Center, Confluence Server och Bamboo Data Center and Server. [1]

Uppdatering 2024-01-23

På internet går det att finna tekniska uppgifter för hur sårbarheten kan exploateras. Shadowserver rapporterar även att försök att exploatera sårbarheten är pågående. [3]

Påverkade produkter

Följande versioner av Confluence Data Center och Confluence Server:
8.0.x
8.1.x
8.2.x
8.3.x
8.4.x
8.5.0-8.5.3

För en fullständig lista över produkter som rättas, se Atlassians publicering [1].

Rekommendationer

CERT-SE rekommenderar att snarast möjligt uppdatera sårbara installationer till den senaste versionen och understryker vikten av att undersöka system efter indikationer på intrång, att angriparen inte har fått fotfäste it-miljön, genom att följa tillgängliga råd [4].

Källor

[1] https://confluence.atlassian.com/security/security-bulletin-january-16-2024-1333335615.html

[2] https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html

[3] https://www.bleepingcomputer.com/news/security/hackers-start-exploiting-critical-atlassian-confluence-rce-flaw/

[4] https://www.tenable.com/blog/cve-2023-22527-atlassian-confluence-data-center-and-server-template-injection-exploited-in-the