Schlagwortarchiv für: CISA

Joseph Lee

Der Frühling der Schwachstellen

Der März 2024 war ein ereignisreicher Monat für Schwachstellen und Cybersicherheit. Es war der zweite Monat in Folge, in dem das CVE-Enrichment (Common Vulnerability Exposure) auslief, was die Verteidiger in eine prekäre Lage brachte, da die Risiken weniger sichtbar waren. Der Linux-Kernel setzte sein hohes Tempo bei der Offenlegung von Schwachstellen fort und wurde als neue „CVE Numbering Authority“ (CNA) beauftragt. Darüber hinaus wurden mehrere kritische Schwachstellen in die KEV-Liste (Known Exploited Vulnerabilities) der CISA aufgenommen, darunter Microsoft Windows, Fortinet FortiClientEMS, alle wichtigen Browser und der Anbieter von „Continuous Integration And Delivery“-Software JetBrains.

Die wichtigsten Cybersecurity-Ereignisse im März:

Informationsfluss des NIST versiegt?

Das NVD-Team (National Vulnerability Database) des NIST (National Institute of Standards and Technology) hat die Anreicherung von CVE-Daten mit weiterführenden Informationen im Februar 2024 ohne Vorwarnung weitgehend eingestellt. Die CVE-Anreicherungsrate der NIST-Database verlangsamte sich im März auf knapp über 5%, und es wurde deutlich, dass es sich bei der abrupten Unterbrechung nicht nur um eine kurzfristige Störung handelte. Das gereicht Cybersicherheitsoperationen auf der ganzen Welt sehr zum Nachteil, da die NVD die größte zentrale Datenbank für Informationen über den Schweregrad von Schwachstellen ist. Ohne diese Anreicherungen stehen den Verantwortlichen für Cybersicherheit nur sehr wenige Informationen für die Priorisierung von Schwachstellen und die Entscheidungsfindung beim Risikomanagement zur Verfügung.

Experten in der Cybersicherheits-Community tauschten öffentlich Spekulationen aus, bis Tanya Brewer vom NIST auf dem VulnCon & Annual CNA Summit ankündigte, dass die nicht-regulatorische US-Regierungsbehörde einige Aspekte der NVD-Verwaltung an ein Industriekonsortium abtreten würde. Brewer erläuterte zwar nicht den genauen Grund für den Ausfall, kündigte aber mehrere zusätzliche Ziele für NIST NVD an:

  • Mögliche Einreichung von Zusatzinformationen durch mehr externe Stellen
  • Verbesserung der NVD-Software zur Identifizierung
  • Hinzufügen neuer Arten von Bedrohungsdaten wie EPSS und das NIST Bugs Framework
  • Verbesserung der Benutzerfreundlichkeit der NVD-Daten und Unterstützung neuer Anwendungsfälle
  • Automatisierung einiger Aspekte der CVE-Analyse

Es rappelt im Linux-Kernel

Insgesamt wurden im März 259 CVEs mit einer Beschreibung veröffentlicht, die mit „Im Linux-Kernel“ begannen. Dies ist der zweitaktivste Monat aller Zeiten bei der Veröffentlichung von Sicherheitslücken in Linux. Den bisherigen Rekord stellte der Vormonat mit insgesamt 279 CVEs auf. Der März markierte auch einen neuen Meilenstein für kernel.org, den Betreuer des Linux-Kernels, da dieser als CVE Numbering Authority (CNA) aufgenommen wurde. Kernel.org wird nun die Rolle der Zuweisung und Anreicherung von CVEs übernehmen, die den Linux-Kernel betreffen. Kernel.org versichert, dass CVEs nur für Schwachstellen vergeben werden, wenn ein Patch verfügbar ist, und CVEs werden nur für Versionen des Linux-Kernels vergeben, die aktiv unterstützt werden.

Brisante Sicherheitslücken in Fortinet-Produkten

In FortiOS und FortiClientEMS wurden mehrere schwere Sicherheitslücken aufgedeckt. Davon wurde CVE-2023-48788 in die KEV-Datenbank der CISA aufgenommen. Das Risiko, das von CVE-2023-48788 ausgeht, wird durch das Vorhandensein eines öffentlich zugänglichen PoC-Exploits (Proof of Concept) noch verstärkt. CVE-2023-48788 ist zwar vor allem eine SQL-Injection-Schwachstelle (CWE-89), kann aber in Verbindung mit der xp_cmdshell-Funktion von Microsoft SQL Server zur Remote Code Execution (RCE) ausgenutzt werden. Selbst wenn xp_cmdshell nicht standardmäßig aktiviert ist, haben Forscher gezeigt, dass die Schwachstelle über SQL-Injection aktiviert werden kann.

Greenbone verfügt über einen Network Vulnerability Test (NVT), mit dem Systeme identifiziert werden können, die von CVE-2023-48788 betroffen sind, über lokale Sicherheitsprüfungen, mit denen Systeme identifiziert werden können, die von CVE-2023-42790 und CVE-2023-42789 betroffen sind, sowie über eine weitere Prüfung, die von CVE-2023-36554 betroffene Systeme identifiziert. Ein PoC-Exploit für CVE-2023-3655 wurde auf GitHub veröffentlicht.

  • CVE-2023-48788 (CVSS 9.8 Kritisch): Eine SQL-Injection-Schwachstelle, die es einem Angreifer ermöglicht, nicht autorisierten Code oder Befehle über speziell gestaltete Pakete in Fortinet FortiClientEMS Version 7.2.0 bis 7.2.2 auszuführen.
  • CVE-2023-42789 (CVSS 9.8 Kritisch): Ein Out-of-bounds-Write in Fortinet FortiOS ermöglicht es einem Angreifer, nicht autorisierten Code oder Befehle über speziell gestaltete HTTP-Anfragen auszuführen. Betroffene Produkte sind FortiOS 7.4.0 bis 7.4.1, 7.2.0 bis 7.2.5, 7.0.0 bis 7.0.12, 6.4.0 bis 6.4.14, 6.2.0 bis 6.2.15, FortiProxy 7.4.0, 7.2.0 bis 7.2.6, 7.0.0 bis 7.0.12, 2.0.0 bis 2.0.13.
  • CVE-2023-42790 (CVSS 8.1 Hoch): Ein Stapel-basierter Buffer Overflow in Fortinet FortiOS ermöglicht es einem Angreifer, über speziell gestaltete HTTP-Anfragen nicht autorisierten Code oder Befehle auszuführen. Zu den betroffenen Produkten gehören FortiOS 7.4.0 bis 7.4.1, 7.2.0 bis 7.2.5, 7.0.0 bis 7.0.12, 6.4.0 bis 6.4.14, 6.2.0 bis 6.2.15, FortiProxy 7.4.0, 7.2.0 bis 7.2.6, 7.0.0 bis 7.0.12 und 2.0.0 bis 2.0.13.
  • CVE-2023-36554 (CVSS 9.8 Kritisch): FortiManager ist anfällig für eine Sicherheitslücke in der Zugriffskontrolle bei Backup- und Restore-Funktionen, die es Angreifern ermöglicht, nicht autorisierten Code oder Befehle über speziell gestaltete HTTP-Requests auszuführen. Betroffene Produkte sind FortiManager Version 7.4.0, Version 7.2.0 bis 7.2.3, Version 7.0.0 bis 7.0.10, Version 6.4.0 bis 6.4.13 und 6.2, alle Versionen.

Zero Day-Schwachstellen in allen wichtigen Browsern

Pwn2Own, ein spannender Hacking-Wettbewerb, fand vom 20. bis 22. März auf der Sicherheitskonferenz CanSecWest statt. Bei der diesjährigen Veranstaltung wurden 29 verschiedene Zero-Days entdeckt und über eine Million Dollar an Preisgeldern an Security-Forscher vergeben. Der unabhängige Teilnehmer Manfred Paul erhielt insgesamt 202.500 Dollar, davon 100.000 Dollar für zwei Zero-Day-Sandbox-Escape-Schwachstellen in Mozilla Firefox. Mozilla veröffentlichte rasch Updates für Firefox mit der Version 124.0.1.

Manfred Paul schaffte auch eine Remote Code Execution (RCE) in Apples Safari durch die Kombination von Pointer Authentication Code (PAC; D3-PAN) Bypass und Integer Underflow Zero-Days (CWE-191). PACs in Apples Betriebssystemen sind kryptografische Signaturen zur Überprüfung der Integrität von Pointern, um die Ausnutzung von Fehlern in korrumpierten Speichern zu verhindern. PAC wurde bereits früher für RCE in Safari umgangen. Manfred Paul hat Google Chrome und Microsoft Edge über die Schwachstelle Improper Validation of Specified Quantity in Input (CWE-1284) überlistet und damit das Browser-Exploit-Dreigestirn komplettiert.

Die Tatsache, dass alle großen Browser angegriffen wurden, unterstreicht das hohe Risiko, das der Besuch von nicht vertrauenswürdigen Internetseiten mit sich bringt, und die insgesamt mangelnde Sicherheit der großen Browserhersteller. Greenbone enthält Tests, um verwundbare Versionen von Firefox und Chrome zu identifizieren.

  • CVE-2024-29943 (CVSS 10 kritisch): Ein Angreifer konnte in Firefox über Out-of-bounds auf ein JavaScript-Objekt zugreifen, indem er die bereichsbasierte Begrenzungsprüfung austrickste. Diese Sicherheitslücke betrifft Versionen von Firefox vor 124.0.1.
  • CVE-2024-29944 (CVSS 10 kritisch): Firefox behandelte Message Manager-Listener falsch, was einem Angreifer erlaubt, einen Event Handler in ein privilegiertes Objekt einzuschleusen, um beliebigen Code auszuführen.

  • CVE-2024-2887 (hoch): Eine Type-Confusion-Schwachstelle (CWE-843) in der Implementierung von WebAssembly (Wasm) im Chrome-Browser.

Neue, aktiv ausgenutzte Microsoft-Schwachstellen

Microsofts Sicherheitshinweis vom März enthielt insgesamt 61 Sicherheitslücken, die sich auf viele Produkte auswirken. Der Windows-Kernel wies mit insgesamt acht CVEs die meisten Schwachstellen auf, von denen fünf als besonders schwerwiegend eingestuft wurden. Microsoft WDAC OLE DB provider for SQL, Windows ODBC Driver, SQL Server und Microsoft WDAC ODBC Driver sind zusammen für zehn CVEs mit hohem Schweregrad verantwortlich. Für keine der Schwachstellen in dieser Gruppe gibt es Workarounds, was bedeutet, dass Updates auf alle betroffenen Produkte angewendet werden müssen. Greenbone enthält Schwachstellentests, um die neu bekannt gewordenen Schwachstellen aus Microsofts Sicherheitshinweis zu erkennen.

Microsoft hat bisher sechs der neuen Sicherheitslücken vom März als „Ausnutzung wahrscheinlich“ gekennzeichnet, während zwei neue Sicherheitslücken, die Microsoft-Produkte betreffen, der CISA KEV-Liste hinzugefügt wurden; CVE-2023-29360 (CVSS 8.4 hoch), die den Microsoft Streaming Service betrifft, und CVE-2024-21338 (CVSS 7.8 hoch), die im Jahr 2023 veröffentlicht wurden, erhielten im März den Status „Aktiv ausgenutzt“.

CVE-2024-27198: kritische Schwachstelle in JetBrains TeamCity

TeamCity ist ein beliebter Continuous-Integration- und Continuous-Delivery-Server (CI/CD), der von JetBrains entwickelt wurde, dem Unternehmen, das auch hinter weit verbreiteten Entwicklungstools wie IntelliJ IDEA, der führenden integrierten Entwicklungsumgebung (IDE) für Kotlin, und PyCharm, einer IDE für Python, steht. TeamCity wurde entwickelt, um Softwareentwicklungsteams bei der Automatisierung und Rationalisierung ihrer Build-, Test- und Deployment-Prozesse zu unterstützen, und konkurriert mit anderen CI/CD-Plattformen wie Jenkins, GitLab CI/CD, Travis CI und Azure DevOps. TeamCity hat einen geschätzten Anteil von knapp 6 % am Gesamtmarkt für Continuous Integration and Delivery und rangiert insgesamt an dritter Stelle. Nach Angaben von JetBrains nutzen mehr als 15,9 Millionen Entwickler ihre Produkte, darunter 90 der Fortune Global Top 100-Unternehmen.

Angesichts der Marktposition von JetBrains wird eine kritische Schwachstelle in einem ihrer Produkte schnell die Aufmerksamkeit potenzieller Angreifer auf sich ziehen. Innerhalb von drei Tagen nach der Veröffentlichung von CVE-2024-27198 wurde die Schwachstelle in den KEV-Katalog der CISA aufgenommen. Der Schwachstellen-Feed von Greenbone Enterprise umfasst Tests zur Identifizierung betroffener Produkte, darunter eine Versionsprüfung und den Active Check, bei dem eine manipulierte HTTP-GET-Anfrage gesendet und die Antwort analysiert wird.

In Kombination ermöglichen CVE-2024-27198 (CVSS 9.8 kritisch) und CVE-2024-27199 einem Angreifer, die Authentifizierung über einen alternativen Pfad oder Kanal (CWE-288) zu umgehen, um geschützte Dateien zu lesen, auch solche außerhalb des eingeschränkten Verzeichnisses (CWE-23), und begrenzte Admin-Aktionen durchzuführen.

Zusammenfassung

Der Frühling beginnt mit wachsenden Software-Schwachstellen aufgrund des NIST NVD-Ausfalls und der aktiven Ausnutzung mehrerer Schwachstellen in Unternehmens- und Verbrauchersoftware. Positiv ist, dass mehrere Zero-Day-Schwachstellen, die alle wichtigen Browser betreffen, identifiziert und gepatcht wurden.

Die Tatsache, dass ein einzelner Forscher in der Lage war, so schnell alle wichtigen Browser auszunutzen, ist jedoch ein ernsthafter Weckruf für alle Unternehmen, da der Browser eine so grundlegende Rolle im modernen Unternehmensbetrieb spielt. Schwachstellenmanagement ist nach wie vor ein Kernelement der Cybersicherheitsstrategie. Durch regelmäßiges Scannen der IT-Infrastruktur auf Schwachstellen wird sichergestellt, dass die neuesten Bedrohungen identifiziert und behoben werden können – und so die Lücken geschlossen werden, die Angreifer für den Zugriff auf wichtige Systeme und Daten auszunutzen versuchen.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Fortinet Schwachstellen: US-Regierung warnt vor chinesischen Hackern

Der kalifornische Hersteller Fortinet, bekannt für sichere Firewall-, VPN- und Intrusion-Detection-Geräte steht seit Jahren im Fokus der Öffentlichkeit aufgrund schwerwiegender Sicherheitsprobleme. Auch im Februar 2024 musste der Cybersecurity-Experte mehrere höchst kritische Sicherheitslöcher bekanntgeben. Wer sich in solchen Fällen proaktiv gegen Angriffe schützen will, muss sich informieren und zeitnah Patches einspielen.

Produkte wie Greenbones Enterprise Appliances spielen dabei eine zentrale Rolle und helfen den Admins. Für alle in diesem Blogpost genannten Schwachstellen gibt es Tests im Enterprise Feed: Aktive Verfahren prüfen, ob die Lücke besteht und ein Exploit möglich ist, aber auch der Erfolg des Patch Managements lässt sich mit Versionstests unter die Lupe nehmen.

87.000 Passwörter ausgelesen: Fortinet hat die „Schwachstelle des Jahres 2022“

2019 erlaubte es CVE-2018-13379 (CVSS 9.8), über 87.000 Passwörter für das Fortinet-VPN aus den Geräten auszulesen. In den folgenden Jahren wurde diese Schwachstelle so erfolgreich ausgenutzt, dass sie 2022 den fragwürdigen Titel der „am meisten ausgenutzten Schwachstelle 2022“ verliehen bekam. Auch die US-Behörden reagierten und mahnten bei den Anwendern mehr Problembewusstsein an. Aber dass es überhaupt so weit kommen konnte, lag für die U.S. Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das Federal Bureau of Investigation (FBI) auch daran, dass viele Kunden nicht zeitnah Patches einspielten. Das, so die Agencies, hätte viele der erfolgreichen Angriffe verhindert.

2023: Unerwünschte Gäste in kritischen Netzen

Dass die Fortinet-Geräte meist in sicherheitskritischen Bereichen eingesetzt werden, macht die Situation noch kritischer: Ungepatcht und mit gravierenden Schwachstellen bestückt, rückten solche Devices in den vergangenen Jahren immer mehr in den Fokus von Angreifern, insbesondere von staatlichen Akteuren. So hatten chinesische Hackergruppen 2023 erfolgreich Netzwerke des niederländischen Militärs infiltriert – über eine bereits ausgebesserte Schwachstelle im FortiOS SSL-VPN vom Dezember 2022 (CVE-2022-42475, CVSS 9.3).

Auch wenn das Netzwerk dem Military Intelligence and Security Service (MIVD) zufolge nur für Forschung und Entwicklung diente, machten die Anfang Februar veröffentlichten Angriffe deutlich, wie einfach es für Angreifer ist, in ansonsten hochgeschützte Netzwerke einzudringen. Die entsprechende Backdoor „Coathanger“ erlaubt es Angreifern dabei sogar, dauerhaften Zugang auf einmal gehackten Geräten zu erreichen, alles dank der Schwachstelle 2022-42475, die das Ausführen beliebigen Codes erlaubt.

Februar 2024: Warnungen vor weiteren Lücken, maximaler Schweregrad

Damit leider nicht genug: Ebenfalls Anfang Februar 2024 musste Fortinet erneut eine gravierende Schwachstelle einräumen: CVE-2024-21762 (CVSS score: 9.6) erlaubt es unauthorisierten Angreifern, über speziell angepasste Requests beliebigen Code auszuführen. Betroffen sind eine lange Liste von Versionen des Fortinet-Betriebssystems FortiOS und des FortiProxy. Der Hersteller rät zum Upgrade oder zum Deaktivieren des SSL-VPNs und warnt sowohl vor der Schwere der Schwachstelle als auch davor, dass sie bereits massiv von Angreifern ausgenutzt werde. Ebenso schlimm sind auch CVE-2024-23108 und CVE-2024-23109, nur wenige Tage später veröffentlicht. Auch sie erlauben es nicht authentifizierten Angreifern, beliebigen Code auszuführen.

Doch ob das so stimmt, ist fraglich: Dass zwei CVEs vom gleichen Hersteller am gleichen Tag auf der Skala der Schwere der Bedrohung eine 10.0 erhalten haben, dürfte einzigartig sein – ebenso wie die verwirrende, wenig Vertrauen erweckende Kommunikation des Herstellers oder die gleichzeitig in Massenmedien berichtete DDOS-Angriffsvariante via Zahnbürste, von denen ein Fortinet-Mitarbeiter erzählte.

Fatale Kombination – Schwachstellenmanagement kann helfen

Wie immer veröffentlichte Fortinet zeitnah Patches, die die Kunden aber auch installieren müssen. Wie katastrophal die Kombination aus schweren Sicherheitslücken, mangelnder Awareness und dem Ausbleiben von Patches wirken kann, zeigte einige Tage später die US-Regierung in einem weiteren Advisory von CISA, NSA und FBI: Volt Typhoon, eine staatliche chinesische Hackergruppe, habe sich auch über derlei Schwachstellen schon seit vielen Jahren dauerhaft in der kritischen Infrastruktur von US-Behörden eingenistet – die damit verbundenen Gefahren dürften nicht unterschätzt werden, so die Warnung.

Zu der dort geforderten „Security by Design“ gehört auch das konstante Überwachen der eigenen Server, Rechner und Installationen mit Schwachstellentests wie denen der Greenbone Enterprise Appliances. Wer seine Netzwerke (nicht nur die Fortinet-Geräte) permanent mit den Vulnerability Tests eines modernen Schwachstellenscanners überwacht, kann seine Administratoren schnellstens informieren, wenn bekannte CVEs in einer Infrastruktur auf Patches warten – und verringert damit die Angriffsfläche.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

CISA warnt vor mehreren Sicherheitslücken in Atlassian Confluence

Sechs schwerwiegende Sicherheitslücken in Atlassian Confluence wurden den letzten Monaten bekannt, die es jetzt für Anwender dringend erfordern, ein Upgrade durchzuführen. Die gefährlichste davon wurde in die KEV-Liste (Known Exploited Vulnerabilities) der CISA (CVE-2023-22527) aufgenommen. Die kürzlich bekannt gewordenen Schwachstellen weisen einen Schweregrad von CVSS 7.5 (hoch) bis 10 (kritisch) auf. Der Greenbone Vulnerability Manager kann alle Schwachstellen mit aktiven Prüfungen und Versionserkennungstests aufdecken, einschließlich der kritischsten, CVE-2023-22527.

CVE-2023-22527 kann von einem Angreifer ausgenutzt werden, um nicht authentifizierten Code via Remote Code Execution (RCE) auszuführen. Zu den betroffenen Produkten gehören Confluence Data Center und Server in den Versionen 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x und 8.5.0 bis 8.5.3 sowie auch die Version 8.4.5, die gemäß der Atlassian Security Bug Fix Policy keine zurückübertragenen Korrekturen mehr erhält. CVE-2023-22527 kann intern über das Jira-Portal von Atlassian (CONFSERVER-93833) und über den öffentlichen Link verfolgt werden. Die Schwachstelle wurde im Rahmen des Bug Bounty-Programms von Atlassian vom Teilnehmer m1sn0w gemeldet.

Die weiteren fünf Schwachstellen können sämtlich remote ohne Benutzeraktion ausgenutzt werden. Ihre Auswirkungen reichen von möglichen DoS-Angriffen (CVE-2023-3635) bis hin zur Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Die meisten Schwachstellen, einschließlich mehrerer schwerwiegender RCE-Sicherheitslücken, wurden in Version 7.13.0 von Confluence Data Center und Server eingeführt. Kunden, die die betroffenen Produkte an öffentlich zugänglichen IP-Adressen nutzen, sind dabei einem erhöhten Risiko ausgesetzt.

Confluence erschien bereits neun Mal in CISA KEV-Warnungen. Drei Schwachstellen hat die CISA in den letzten Monaten dem KEV-Katalog hinzugefügt:

  • 24. Januar 2024: CVE-2023-22527
  • 07. November 2023: CVE-2023-22518
  • 05. Dezember 2023: CVE-2023-22515

In einem kürzlich veröffentlichten Bericht, der auf Shodan-Daten basiert, schätzt die Forschungsgruppe VulnCheck, dass mehr als 235.000 Confluence-Honeypots mit Internetanschluss an öffentlich zugänglichen IP-Adressen existieren, während die tatsächliche Anzahl der Confluence-Server mit Internetanschluss eher bei 4.000 liegt.

Zusammenfassung der Sicherheitslücken in Atlassian Confluence

Hier finden Sie eine kurze Zusammenfassung aller kürzlich bekannt gewordenen Sicherheitslücken in Atlassian Confluence:

  • CVE-2023-22527 (CVSS 10 kritisch): Eine Template-Injection-Schwachstelle [CWE-284] in älteren Versionen von Confluence Data Center und Server ermöglicht es einem nicht authentifizierten Angreifer, dort einen RCE durchzuführen. Die meisten neueren Versionen von Confluence Data Center und Server sind nicht betroffen. Nach der ersten Offenlegung hat Atlassian den CVSS-Score für CVE-2023-22527 von 9.1 auf den höchstmöglichen Score von 10 angehoben.
  • CVE-2024-21673 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, eingeschränkte Ressourcen [CWE-284] aus der Ferne freizulegen, um Vertraulichkeit, Integrität und Verfügbarkeit (Confidentiality, Integrity and Availability; CIA) des Systems ohne weitere Aktionen zu beeinträchtigen. Die Schwachstelle wurde in Version 7.13.0 (veröffentlicht im August 2021) von Confluence Data Center und Server eingeführt.
  • CVE-2023-22526 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, beliebigen Code remote auszuführen, um ohne Benutzerinteraktion großen Schaden bei der Vertraulichkeit, Integrität und Verfügbarkeit des Systems zu verursachen.
  • CVE-2024-21672 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, aus der Ferne beliebigen Code auszuführen, um ohne Benutzerinteraktion die CIA des Systems stark zu beeinträchtigen. Die Schwachstelle wurde in Version 2.1.0 (veröffentlicht im Dezember 2005) von Confluence Data Center und Server eingeführt, das heißt sie betrifft praktisch alle Versionen.
  • CVE-2023-3635 (CVSS 7.5 Hoch): Eine DoS-Schwachstelle in der Okio-Client-Java-Library, die in Confluence X verwendet wird. GzipSource behandelt keine Ausnahme, die beim Parsen eines fehlerhaften Gzip-Puffers ausgelöst werden könnte, was zu einem Denial of Service des Okio-Clients führen könnte, wenn ein manipuliertes GZIP-Archiv verarbeitet wird, indem die GzipSource-Klasse verwendet wird.
  • CVE-2024-21674 (CVSS 7.5 Hoch): Ermöglicht es einem authentifizierten Angreifer, eingeschränkte Assets [CWE-284] remote offenzulegen, um die Vertraulichkeit ohne Aktionen der User zu beeinträchtigen, hat aber keine Auswirkungen auf Integrität oder Verfügbarkeit. Die Sicherheitslücke wurde in Version 7.13.0 (veröffentlicht im August 2021) von Confluence Data Center und Server eingeführt.

Entschärfung der Sicherheitslücken in Atlassian Confluence

Es sind keine Abhilfen zum Schutz vor diesen Sicherheitslücken bekannt. Die schwerwiegendste, CVE-2023-22527, wirkt sich nur auf ältere Versionen von Confluence Data Center und Server aus. Die allgemeine Empfehlung von Atlassian für alle anderen oben aufgeführten CVEs lautet, die neueste Version von Confluence Data Center und Server herunterzuladen und zu aktualisieren. Sollte dies jedoch nicht möglich sein, gibt Atlassian für jedes CVE eine andere Empfehlung zur Schadensbegrenzung.

Der Hersteller hat auch versionsspezifische Abhilfemaßnahmen für CVE-2024-21673, CVE-2023-22526, CVE-2023-3635 und CVE-2024-21674 beschrieben. Kunden, die nicht auf die neueste Version von Confluence Data Center und Server aktualisieren können, haben die Möglichkeit, auf eine kleinere Version zu aktualisieren, die bereits gepatcht wurde.

  • Kunden, die Confluence Data Center und Server 7.19 verwenden: Aktualisieren Sie auf Version 19.18 oder eine höhere 7.19.x-Version.
  • Kunden, die Confluence Data Center und Server 8.5 verwenden: Aktualisieren Sie auf Version 5.5 oder ein höheres 8.5.x-Release.
  • Kunden, die Confluence Data Center und Server 8.7 verwenden: Upgrade auf Version 7.2 oder ein höheres 8.7.x-Release.

Zusammenfassung

Im Januar 2024 wurde eine kritische Sicherheitslücke mit Auswirkungen auf Atlassian Confluence Data Center und Server bekannt gegeben, die in die Fußstapfen von fünf weiteren kürzlich bekannt gegebenen CVEs mit hoher Auswirkung tritt. Es ist bekannt, dass die kritischste Schwachstelle, CVE-2023-22527, weidlich ausgenutzt wird, sodass die Benutzer der betroffenen Produkte dringend ein Upgrade durchführen müssen. Am stärksten gefährdet sind die öffentlich zugänglichen Instanzen von Confluence mit schätzungsweise 4.000 Instanzen (Stand: 2. Februar 2024).

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von