Avastati kriitiline turvanõrkus Confluence’i tarkvaras

Uuendatud 6. juunil kell 12

Nimetus: CVE-2022-26134

Taust

2. juunil avalikustas Atlassian Confluence’i tarkvara mõjutava kriitilise nullpäeva turvanõrkuse CVE-2022-26134 , mille abil saab autentimata kasutaja haavatavas süsteemis teostada koodi kaugkäitust. Turvanõrkuse avastas üks küberturbeettevõte, kes analüüsis parasjagu kliendi küberintsidenti ja leidis, et selle käigus oli kasutatud just seda seniteadmata haavatavust[1]. Ettevõtte sõnul kasutavad tõenäoliselt mitmed Hiinaga seostatavad küberühmitused hetkel aktiivselt seda turvanõrkust haavatavate süsteemide ründamiseks. Need rühmitused ei ole ainsad, kes on üritanud haavatavust kuritarvitada, vaid haavatavate süsteemide kaardistamisega tegelevad ka paljud teised pahatahtlikud osapooled[2].

Võimalik mõju ja haavatavad süsteemid

Turvanõrkus võimaldab süsteemi paigaldada autentimata kasutajal näiteks veebikesta, mille abil saab anda täiendavaid pahaloomulisi käske. Käskude abil on potentsiaalselt võimalik varastada kompromiteeritud süsteemides leiduvaid andmeid, paigaldada täiendavat pahavara, liikuda lateraalselt edasi või krüpteerida haavatavad süsteemid sootuks.

Kui 03.06.2022 kella 16:00 seisuga ei olnud turvanõrkuse kontseptsiooni tõendus (POC) veel avalikult kättesaadav, siis õige pea avalikustati ka see[3]. Seetõttu on väga oluline, et mõjutatud süsteemide haldajad võtaksid arvesse järgnevas peatükis välja toodud vastumeetmeid ja soovitusi. Tootja on juba jõudnud väljastada ka osadele tarkvaraversioonidele turvapaigad, samuti ka info ajutiste vastumeetmete kohta, kui turvapaikade rakendamine ei ole kohe võimalik. Täpsemat informatsiooni leiate tootja ametlikult kodulehelt.

Haavatavad on Confluence Serveri ja Data Centeri kõik versioonid, mis on uuemad kui 1.3.0[4]. Tootja on seisuga 06.06.2022 09:30 väljastanud turvapaigad versioonidele 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 ja 7.18.1. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’i lehed.

Võimalikud vastumeetmed ja soovitused

  1. Rakendada turvapaik, kui see on kättesaadav. Täpsema informatsiooni leiate tootja kodulehelt.
  2. Kõikidele Confluence Server ja Data Center süsteemidele tuleks piirata internetist ligipääs, näiteks ACL reeglitega.
  3. Kui ligipääsu piiramine ei ole võimalik, tuleks Confluence Serveri ja Data Centeri süsteemide kasutamine ajutiselt peatada ning oodata seni, kuni tootja väljastab turvapaiga ja see rakendada.
  4. Soovitame enda veebirakenduse tulemüüri pakkujalt uurida, milliseid kaitsemeetmeid Confluence’i vastu suunatud rünnete kohta pakutakse. Kui te ei ole veebirakenduse tulemüüri kasutusele võtnud, soovitame seda teha.
  5. Tootja hinnangul võib ohtu vähendada ka spetsiaalse reegli rakendamine veebirakenduse tulemüüris, mis blokeerib kõik URLid, mis sisaldavad ${.
  6. Veenduge, et rakendatud oleks süsteemide logimine ja võimalus logisid ka võimaliku intsidendi korral kätte saada ja analüüsida. Võimalusel tuleks logide varundusi hoida eraldatud süsteemis.
  7. Soovitame tutvuda järgneva intsidendi analüüsiga siin ning uurida, kas märkate logidest artiklis välja toodud IOC-sid. Samuti on artiklis välja toodud Yara reeglid, mis aitavad tuvastada süsteemidest veebikestade olemasolu, mida selle konkreetse intsidendi jooksul kasutati.
  8. Haavatavate süsteemide kompromiteerumise kahtluse korral palume teavitada CERT-EE-d, kirjutades meiliaadressile cert@cert.ee
  9. Kuna turvanõrkuse kohta tuleb informatsiooni jooksvalt juurde, soovitame jälgida CERT-EE igahommikust uudiskirja, mis kajastab kõige olulisemaid kübermaailmaga seotud uudiseid. Kui te ei ole sellega veel liitunud, siis leiate liitumiseks vajaliku informatsiooni siit. Samuti soovitame aeg-ajalt uurida tootja ametlikku lehte siin.

[1] https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

[2] https://blog.cloudflare.com/cloudflare-observations-of-confluence-zero-day-cve-2022-26134/

[3] https://www.bleepingcomputer.com/news/security/exploit-released-for-atlassian-confluence-rce-bug-patch-now/

[4] https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

3. juuni 2022 kella 16 seisuga ei ole turvanõrkuse kontseptsiooni tõendus (POC) veel avalikult kättesaadav. See vähendab küll veel hetkel haavatavuse laialdast kasutamist, kuid suure tõenäosusega avaldatakse kontseptsiooni tõendus ka lähiajal. Juhime samuti tähelepanu sellele, et selleks ajaks ei olnud tootja väljastanud turvapaika haavatavuse parandamiseks. Seetõttu on tähtis, et mõjutatud süsteemide haldajad võtaksid arvesse järgnevas peatükis välja toodud vastumeetmeid ja soovitusi.

Haavatav on Confluence Server versioon 7.18.0 ning Confluence Data Centeri versioonid 7.4.0 või uuemad[2]. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’i lehed [3].

Võimalikud vastumeetmed ja soovitused

  1. Kõikidele Confluence Server ja Data Center süsteemidele tuleb piirata internetist ligipääs, näiteks ACL reeglitega.
  2. Kui ligipääsu piiramine ei ole võimalik, tuleks Confluence Serveri ja Data Centeri süsteemide kasutamine ajutiselt peatada ning oodata seni, kuni tootja väljastab turvapaiga ja see rakendada.
  3. Kui kahte eelnevat soovitust ei ole võimalik järgida, siis võib tootja hinnangul ohtu vähendada ka spetsiaalse reegli rakendamine veebirakenduse tulemüüris, mis blokeerib kõik URLid, mis sisaldavad ${.
  4. Veenduge, et rakendatud oleks süsteemide logimine ja võimalus logisid ka võimaliku intsidendi korral kätte saada ja analüüsida. Võimalusel tuleks logide varundusi hoida eraldatud süsteemis.
  5. Kui tootja on turvapaiga kättesaadavaks teinud, tuleks see kohe rakendada.
  6. Soovitame tutvuda järgneva intsidendi analüüsiga siin ning uurida, kas märkate logidest artiklis välja toodud IOC-sid. Samuti on artiklis välja toodud Yara reeglid, mis aitavad tuvastada süsteemidest veebikestade olemasolu, mida selle konkreetse intsidendi jooksul kasutati.
  7. Haavatavate süsteemide kompromiteerumise kahtluse korral palume teavitada CERT-EE-d, kirjutades meiliaadressile cert@cert.ee
  8. Kuna turvanõrkuse kohta tuleb informatsiooni jooksvalt juurde, soovitame jälgida CERT-EE igahommikust uudiskirja, mis kajastab kõige olulisemaid kübermaailmaga seotud uudiseid. Kui te ei ole sellega veel liitunud, siis leiate liitumiseks vajaliku informatsiooni siit. Samuti soovitame aktiivselt jälgida jooksvalt uuendatavat blogi siin ning tootja ametlikku lehte siin.

[1] https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

[2] https://blog.cloudflare.com/cloudflare-customers-are-protected-from-the-atlassian-confluence-cve-2022-26134/

[3] https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html