CISA warnt vor mehreren Sicherheitslücken in Atlassian Confluence

Sechs schwerwiegende Sicherheitslücken in Atlassian Confluence wurden den letzten Monaten bekannt, die es jetzt für Anwender dringend erfordern, ein Upgrade durchzuführen. Die gefährlichste davon wurde in die KEV-Liste (Known Exploited Vulnerabilities) der CISA (CVE-2023-22527) aufgenommen. Die kürzlich bekannt gewordenen Schwachstellen weisen einen Schweregrad von CVSS 7.5 (hoch) bis 10 (kritisch) auf. Der Greenbone Vulnerability Manager kann alle Schwachstellen mit aktiven Prüfungen und Versionserkennungstests aufdecken, einschließlich der kritischsten, CVE-2023-22527.

CVE-2023-22527 kann von einem Angreifer ausgenutzt werden, um nicht authentifizierten Code via Remote Code Execution (RCE) auszuführen. Zu den betroffenen Produkten gehören Confluence Data Center und Server in den Versionen 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x und 8.5.0 bis 8.5.3 sowie auch die Version 8.4.5, die gemäß der Atlassian Security Bug Fix Policy keine zurückübertragenen Korrekturen mehr erhält. CVE-2023-22527 kann intern über das Jira-Portal von Atlassian (CONFSERVER-93833) und über den öffentlichen Link verfolgt werden. Die Schwachstelle wurde im Rahmen des Bug Bounty-Programms von Atlassian vom Teilnehmer m1sn0w gemeldet.

Die weiteren fünf Schwachstellen können sämtlich remote ohne Benutzeraktion ausgenutzt werden. Ihre Auswirkungen reichen von möglichen DoS-Angriffen (CVE-2023-3635) bis hin zur Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Die meisten Schwachstellen, einschließlich mehrerer schwerwiegender RCE-Sicherheitslücken, wurden in Version 7.13.0 von Confluence Data Center und Server eingeführt. Kunden, die die betroffenen Produkte an öffentlich zugänglichen IP-Adressen nutzen, sind dabei einem erhöhten Risiko ausgesetzt.

Confluence erschien bereits neun Mal in CISA KEV-Warnungen. Drei Schwachstellen hat die CISA in den letzten Monaten dem KEV-Katalog hinzugefügt:

• 24. Januar 2024: CVE-2023-22527
• 07. November 2023: CVE-2023-22518
• 05. Dezember 2023: CVE-2023-22515

In einem kürzlich veröffentlichten Bericht, der auf Shodan-Daten basiert, schätzt die Forschungsgruppe VulnCheck, dass mehr als 235.000 Confluence-Honeypots mit Internetanschluss an öffentlich zugänglichen IP-Adressen existieren, während die tatsächliche Anzahl der Confluence-Server mit Internetanschluss eher bei 4.000 liegt.

Zusammenfassung der Sicherheitslücken in Atlassian Confluence

Hier finden Sie eine kurze Zusammenfassung aller kürzlich bekannt gewordenen Sicherheitslücken in Atlassian Confluence:

• CVE-2023-22527 (CVSS 10 kritisch): Eine Template-Injection-Schwachstelle [CWE-284] in älteren Versionen von Confluence Data Center und Server ermöglicht es einem nicht authentifizierten Angreifer, dort einen RCE durchzuführen. Die meisten neueren Versionen von Confluence Data Center und Server sind nicht betroffen. Nach der ersten Offenlegung hat Atlassian den CVSS-Score für CVE-2023-22527 von 9.1 auf den höchstmöglichen Score von 10 angehoben.
• CVE-2024-21673 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, eingeschränkte Ressourcen [CWE-284] aus der Ferne freizulegen, um Vertraulichkeit, Integrität und Verfügbarkeit (Confidentiality, Integrity and Availability; CIA) des Systems ohne weitere Aktionen zu beeinträchtigen. Die Schwachstelle wurde in Version 7.13.0 (veröffentlicht im August 2021) von Confluence Data Center und Server eingeführt.
• CVE-2023-22526 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, beliebigen Code remote auszuführen, um ohne Benutzerinteraktion großen Schaden bei der Vertraulichkeit, Integrität und Verfügbarkeit des Systems zu verursachen.
• CVE-2024-21672 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, aus der Ferne beliebigen Code auszuführen, um ohne Benutzerinteraktion die CIA des Systems stark zu beeinträchtigen. Die Schwachstelle wurde in Version 2.1.0 (veröffentlicht im Dezember 2005) von Confluence Data Center und Server eingeführt, das heißt sie betrifft praktisch alle Versionen.
• CVE-2023-3635 (CVSS 7.5 Hoch): Eine DoS-Schwachstelle in der Okio-Client-Java-Library, die in Confluence X verwendet wird. GzipSource behandelt keine Ausnahme, die beim Parsen eines fehlerhaften Gzip-Puffers ausgelöst werden könnte, was zu einem Denial of Service des Okio-Clients führen könnte, wenn ein manipuliertes GZIP-Archiv verarbeitet wird, indem die GzipSource-Klasse verwendet wird.
• CVE-2024-21674 (CVSS 7.5 Hoch): Ermöglicht es einem authentifizierten Angreifer, eingeschränkte Assets [CWE-284] remote offenzulegen, um die Vertraulichkeit ohne Aktionen der User zu beeinträchtigen, hat aber keine Auswirkungen auf Integrität oder Verfügbarkeit. Die Sicherheitslücke wurde in Version 7.13.0 (veröffentlicht im August 2021) von Confluence Data Center und Server eingeführt.

Entschärfung der Sicherheitslücken in Atlassian Confluence

Es sind keine Abhilfen zum Schutz vor diesen Sicherheitslücken bekannt. Die schwerwiegendste, CVE-2023-22527, wirkt sich nur auf ältere Versionen von Confluence Data Center und Server aus. Die allgemeine Empfehlung von Atlassian für alle anderen oben aufgeführten CVEs lautet, die neueste Version von Confluence Data Center und Server herunterzuladen und zu aktualisieren. Sollte dies jedoch nicht möglich sein, gibt Atlassian für jedes CVE eine andere Empfehlung zur Schadensbegrenzung.

Der Hersteller hat auch versionsspezifische Abhilfemaßnahmen für CVE-2024-21673, CVE-2023-22526, CVE-2023-3635 und CVE-2024-21674 beschrieben. Kunden, die nicht auf die neueste Version von Confluence Data Center und Server aktualisieren können, haben die Möglichkeit, auf eine kleinere Version zu aktualisieren, die bereits gepatcht wurde.

• Kunden, die Confluence Data Center und Server 7.19 verwenden: Aktualisieren Sie auf Version 19.18 oder eine höhere 7.19.x-Version.
• Kunden, die Confluence Data Center und Server 8.5 verwenden: Aktualisieren Sie auf Version 5.5 oder ein höheres 8.5.x-Release.
• Kunden, die Confluence Data Center und Server 8.7 verwenden: Upgrade auf Version 7.2 oder ein höheres 8.7.x-Release.

Zusammenfassung

Im Januar 2024 wurde eine kritische Sicherheitslücke mit Auswirkungen auf Atlassian Confluence Data Center und Server bekannt gegeben, die in die Fußstapfen von fünf weiteren kürzlich bekannt gegebenen CVEs mit hoher Auswirkung tritt. Es ist bekannt, dass die kritischste Schwachstelle, CVE-2023-22527, weidlich ausgenutzt wird, sodass die Benutzer der betroffenen Produkte dringend ein Upgrade durchführen müssen. Am stärksten gefährdet sind die öffentlich zugänglichen Instanzen von Confluence mit schätzungsweise 4.000 Instanzen (Stand: 2. Februar 2024).