Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Atlassian Confluence Data Center ja Server tuotteiden paikallisesti asennetuissa versioissa on havaittu kriittinen virheelliseen valtuuttamiseen liittyvä haavoittuvuus. Atlassian suosittelee asentamaan päivitykset välittömästi tai rajoittamaan haavoittuvuuden hyväksikäyttömahdollisuuksia estämällä palvelun näkyvyys julkiseen verkkoon. Haavoittuvuutta on hyväksikäytetty.

Haavoittuvuutta hyväksikäyttämällä tunnistautumaton hyökkääjä voi nollata Confluencen ja luoda ympäristöön uuden pääkäyttäjän. Uudella käyttäjällä hyökkääjä voi suorittaa  ylläpitotoimenpiteitä, jotka johtavat täydelliseen luottamuksellisuuden, eheyden ja saatavuuden menettämiseen. Atlassianin mukaan haavoittuvuutta hyväksikäytetään aktiivisesti esimerkiksi kiristyshaittaohjelmien levittämiseen.

Haavoittuvuus vaikuttaa kaikkiin päivittämättömiin paikallisesti asennettuihin ohjelmistoversioihin. Atlassianin isännöimät pilviympäristöissä olevat versiot eivät ole haavoittuvaisia. Haavoittuvuus koskee organisaatioita, joilla kyseinen tuote on käytössään.

Atlassian suosittelee päivittämään haavoittuvat ohjelmistoversiot välittömästi.

Kyberturvallisuuskeskuksella on tiedossa tapauksia, joissa haavoittuvuutta on hyväksikäytetty suomalaisissa organisaatiossa. Mikäli havaitset, että haavoittuvuutta on hyväksikäytetty tai yritetty hyväksikäyttää, ilmoita siitä meille lomakkeella https://www.kyberturvallisuuskeskus.fi/fi/ilmoita tai sähköpostitse cert@traficom.fi .

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä
  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

Kaikki Atlassian Confluence Data Center ja Server -tuotteiden versiot.

Mistä on kysymys?

Asenna korjaava ohjelmistopäivitys.

Korjatut versiot:

  • 7.19.16 tai uudempi
  • 8.3.4 tai uudempi
  • 8.4.4 tai uudempi
  • 8.5.3 tai uudempi
  • 8.6.1 tai uudempi

Mikäli päivittäminen ei ole mahdollista, Atlassian suosittelee:

  1. Varmuuskopioimaan instanssin valmistajan ohjeiden (Ulkoinen linkki) mukaisesti. 
  2. Mikäli mahdollista, estämään palvelun näkyvyyden julkiseen verkkoon.
  3. Mikäli et voi rajoittaa palvelun näkyvyyttä julkiseen verkkoon, estä pääsy näihin Confuence:ssa.
    /json/setup-restore.action
    /json/setup-restore-local.action
    /json/setup-restore-progress.action

Tarkemmat tiedot ja ohjeet Atlassianin haavoittuvuudesta:  CVE-2023-22518 - Improper Authorization Vulnerability In Confluence Data Center and Server (Ulkoinen linkki)

Mitä voin tehdä?

Atlassian suosittelee tarkastamaan kaikki haavoittuvat Confluence-ympäristöt ja etsimään viitteitä mahdollisesta hyväksikäytöstä.

Viitteitä ympäristön hyväksikäytöstä voivat olla:

  • kirjautumisoikeuden menettäminen ympäristöön
  • pyyntöjä osoitteeseen /json/setup-restore* -verkkolokeissa
  • ympäristöön asennetut tuntemattomat lisäosat 
  • salatut tiedostot tai korruptoitunut data
  • odottamattomat confluence-administrators -ryhmän jäsenet
  • odottamattomat uudet käyttäjätilit

Mikäli viitteitä hyväksikäytöstä havaitaan, tulisi ympäristö olettaa murretuksi ja seurata organisaation tietoturvaloukkausten reagoimiseen koskevaa suunnitelmaa

Lisätty tieto haavoittuvuuden hyväksikäytöstä.

Päivitetty haavoittuvuuden tiedot vastaamaan valmistajan päivittämää tiedotetta.