Информация о событии безопасности b47567d454a89e9714a8dae732eb9c06

Информация об атаке

Tag
CVE-2023-22515

Date
2024-09-09

Client IP
45.148.10.192

Client GEO
the netherlands

Vendor
Atlassian

Product
Confluence Data Center and Server

RAW request
GET /server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=0&cache2lbQqi60R6c2jOs5qmxw8KwLsSu HTTP/1.0 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:70.0) Gecko/20100101 Firefox/70.0 Host: ████████████ X-Forwarded-For: █████████████ Accept-Encoding: gzip Connection: close

RAW request

GET /server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=0&cache2lbQqi60R6c2jOs5qmxw8KwLsSu HTTP/1.0
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:70.0) Gecko/20100101 Firefox/70.0
Host: ████████████
X-Forwarded-For: █████████████
Accept-Encoding: gzip
Connection: close

Description
CVE-2023-22515 - это критическая уязвимость, выявленная в Atlassian Confluence Data Center и Server. Эта уязвимость, классифицированная как проблема контроля доступа, позволяет удаленным злоумышленникам эксплуатировать общедоступные экземпляры Confluence для создания несанкционированных учетных записей администратора Confluence. Получив административный доступ, злоумышленники могут выполнять широкий спектр вредоносных действий, включая эксфильтрацию контента, доступ к системным учетным данным и установку вредоносных плагинов. Эта уязвимость не затрагивает сайты Atlassian Cloud. Если ваш сайт Confluence доступен через домен atlassian.net, он размещен на платформе Atlassian и не подвержен этой уязвимости. Уязвимость имеет оценку CVSS 10, что указывает на ее критическую природу. Вектор атаки основан на сети, не требует аутентификации и имеет низкую сложность, что делает ее высокоэксплуатируемой. Проблема была сообщена несколькими клиентами и активно эксплуатировалась в дикой природе. Злоумышленники использовали эту уязвимость нулевого дня для несанкционированного доступа к экземплярам Confluence, что приводило к значительным нарушениям безопасности. Уязвимость затрагивает версии Confluence Data Center и Server до 8.0.0. Atlassian предоставила несколько обновлений и рекомендаций для решения этой проблемы. Они рекомендуют обновить Confluence Data Center и Server до последних исправленных версий для снижения риска. Кроме того, Atlassian предоставила поддержку по обнаружению угроз и усилила действия, необходимые для защиты затронутых экземпляров. Организациям рекомендуется работать с местными командами безопасности или специализированными фирмами по судебной экспертизе безопасности для дальнейшего расследования и обращаться в службу поддержки Atlassian за дополнительной помощью.

Description

CVE-2023-22515 - это критическая уязвимость, выявленная в Atlassian Confluence Data Center и Server. Эта уязвимость, классифицированная как проблема контроля доступа, позволяет удаленным злоумышленникам эксплуатировать общедоступные экземпляры Confluence для создания несанкционированных учетных записей администратора Confluence. Получив административный доступ, злоумышленники могут выполнять широкий спектр вредоносных действий, включая эксфильтрацию контента, доступ к системным учетным данным и установку вредоносных плагинов.

Эта уязвимость не затрагивает сайты Atlassian Cloud. Если ваш сайт Confluence доступен через домен atlassian.net, он размещен на платформе Atlassian и не подвержен этой уязвимости. Уязвимость имеет оценку CVSS 10, что указывает на ее критическую природу. Вектор атаки основан на сети, не требует аутентификации и имеет низкую сложность, что делает ее высокоэксплуатируемой.

Проблема была сообщена несколькими клиентами и активно эксплуатировалась в дикой природе. Злоумышленники использовали эту уязвимость нулевого дня для несанкционированного доступа к экземплярам Confluence, что приводило к значительным нарушениям безопасности. Уязвимость затрагивает версии Confluence Data Center и Server до 8.0.0.

Atlassian предоставила несколько обновлений и рекомендаций для решения этой проблемы. Они рекомендуют обновить Confluence Data Center и Server до последних исправленных версий для снижения риска. Кроме того, Atlassian предоставила поддержку по обнаружению угроз и усилила действия, необходимые для защиты затронутых экземпляров. Организациям рекомендуется работать с местными командами безопасности или специализированными фирмами по судебной экспертизе безопасности для дальнейшего расследования и обращаться в службу поддержки Atlassian за дополнительной помощью.

Mitigations

Mitigations
Обновите Confluence: Обновите каждую из затронутых установок Confluence Data Center и Server до одной из исправленных версий (или любой более поздней версии), предоставленных Atlassian. Измените конфигурацию: На каждом узле измените файл `/confluence/WEB-INF/web.xml`, чтобы включить необходимые настройки безопасности, рекомендованные Atlassian. Мониторинг индикаторов компрометации: Регулярно проверяйте наличие индикаторов компрометации, таких как несанкционированные учетные записи администратора и необычная активность в экземплярах Confluence. Привлечение экспертов по безопасности: Работайте с местной командой безопасности или специализированной фирмой по судебной экспертизе безопасности для проведения тщательного расследования ваших экземпляров Confluence. Свяжитесь с поддержкой Atlassian: Обратитесь в службу поддержки Atlassian за дополнительной помощью и рекомендациями по защите ваших экземпляров Confluence. Реализация сегментации сети: Убедитесь, что экземпляры Confluence не являются общедоступными и защищены соответствующей сегментацией сети и межсетевыми экранами. Регулярное обновление: Поддерживайте регулярный график обновлений, чтобы все программное обеспечение было актуальным и содержало последние исправления безопасности.


Обновите Confluence: Обновите каждую из затронутых установок Confluence Data Center и Server до одной из исправленных версий (или любой более поздней версии), предоставленных Atlassian.
Измените конфигурацию: На каждом узле измените файл /confluence/WEB-INF/web.xml, чтобы включить необходимые настройки безопасности, рекомендованные Atlassian.
Мониторинг индикаторов компрометации: Регулярно проверяйте наличие индикаторов компрометации, таких как несанкционированные учетные записи администратора и необычная активность в экземплярах Confluence.
Привлечение экспертов по безопасности: Работайте с местной командой безопасности или специализированной фирмой по судебной экспертизе безопасности для проведения тщательного расследования ваших экземпляров Confluence.
Свяжитесь с поддержкой Atlassian: Обратитесь в службу поддержки Atlassian за дополнительной помощью и рекомендациями по защите ваших экземпляров Confluence.
Реализация сегментации сети: Убедитесь, что экземпляры Confluence не являются общедоступными и защищены соответствующей сегментацией сети и межсетевыми экранами.
Регулярное обновление: Поддерживайте регулярный график обновлений, чтобы все программное обеспечение было актуальным и содержало последние исправления безопасности.

Links
https://blog.qualys.com/vulnerabilities-threat-research/2023/11/15/atlassian-confluence-broken-access-control-vulnerability-cve-2023-22515 https://confluence.atlassian.com/display/KB/FAQ+for+CVE-2023-22515 https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html https://confluence.atlassian.com/security/cve-2023-22515-broken-access-control-vulnerability-in-confluence-data-center-and-server-1295682276.html https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22515 https://github.com/Chocapikk/CVE-2023-22515 https://medium.com/@Romser/soc235-atlassian-confluence-broken-access-control-0-day-cve-2023-22515-c987e3abe2ee https://nvd.nist.gov/vuln/detail/CVE-2023-22515 https://securitylabs.datadoghq.com/articles/confluence-vulnerability-cve-2023-22515-overview-and-remediation/ https://www.cisa.gov/news-events/alerts/2023/10/16/cisa-fbi-and-ms-isac-release-joint-advisory-atlassian-confluence-vulnerability-cve-2023-22515 https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-289a https://www.rapid7.com/blog/post/2023/10/04/etr-cve-2023-22515-zero-day-privilege-escalation-in-confluence-server-and-data-center/ https://www.tenable.com/blog/cve-2023-22515-zero-day-vulnerability-in-atlassian-confluence-data-center-and-server-exploited https://www.tenable.com/cve/CVE-2023-22515

Links

https://blog.qualys.com/vulnerabilities-threat-research/2023/11/15/atlassian-confluence-broken-access-control-vulnerability-cve-2023-22515
https://confluence.atlassian.com/display/KB/FAQ+for+CVE-2023-22515
https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html
https://confluence.atlassian.com/security/cve-2023-22515-broken-access-control-vulnerability-in-confluence-data-center-and-server-1295682276.html
https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22515
https://github.com/Chocapikk/CVE-2023-22515
https://medium.com/@Romser/soc235-atlassian-confluence-broken-access-control-0-day-cve-2023-22515-c987e3abe2ee
https://nvd.nist.gov/vuln/detail/CVE-2023-22515
https://securitylabs.datadoghq.com/articles/confluence-vulnerability-cve-2023-22515-overview-and-remediation/
https://www.cisa.gov/news-events/alerts/2023/10/16/cisa-fbi-and-ms-isac-release-joint-advisory-atlassian-confluence-vulnerability-cve-2023-22515
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-289a
https://www.rapid7.com/blog/post/2023/10/04/etr-cve-2023-22515-zero-day-privilege-escalation-in-confluence-server-and-data-center/
https://www.tenable.com/blog/cve-2023-22515-zero-day-vulnerability-in-atlassian-confluence-data-center-and-server-exploited
https://www.tenable.com/cve/CVE-2023-22515

Сообщество

Контакты

Cloud

Sattelite

Информация об атаке

Engine

Sattelite

Radar

Cloud

Блог

Сообщество

Контакты