Ein jüngster Anstieg von Cyberangriffen, die auf die weit verbreitete Atlassian Confluence Data Center- und Servertechnologie abzielen, hat zu einer Anhebung des Common Vulnerability Scoring System (CVSS)-Scores der entsprechenden Schwachstelle geführt. Die zunächst mit 9.1 bewertete Schwachstelle wurde nun auf einen kritischen Wert von 10 eskaliert. Diese Erhöhung des Schweregrads ist auf die Entdeckung aktiver Ransomware-Angriffe und anderer Exploits gegen ungepatchte Systeme zurückzuführen.

Alle Versionen von Atlassian Confluence Data Center und Server sind von dieser Schwachstelle betroffen. Es ist jedoch wichtig zu beachten, dass Cloud-Instanzen für diese Angriffe nicht anfällig sind. Bei der als CVE-2023-22518 identifizierten Sicherheitslücke handelt es sich um ein unsachgemäßes Autorisierungsproblem, das es Unbefugten ermöglicht, Confluence zurückzusetzen und Administratorzugriff zu erhalten.

In der aktuellen Atlassian-Beratung wurde darauf hingewiesen, dass sich der Umfang der Angriffe geändert hat, was zu einer Änderung des Schweregrads der Schwachstelle geführt hat. Darüber hinaus haben die Sicherheitsforscher von Rapid7 vor der Eskalation dieser Angriffe gewarnt, deren Zunahme am vergangenen Wochenende beobachtet wurde.

Atlassian, ein australisches Unternehmen, das für seine Softwareentwicklungs- und Kollaborationstools bekannt ist, hat die Schwere dieser Sicherheitslücke erkannt. Der Hinweis betonte die möglichen Folgen einer Ausnutzung und stellte fest, dass unbefugte Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit von Confluence-Instanzen gefährden könnten.

Obwohl das genaue Ausmaß der Auswirkungen noch unbekannt ist, hat Atlassian die Sicherheitsteams aufgefordert, wachsam zu sein und auf bestimmte Anzeichen einer Kompromittierung zu achten. Dazu gehören unerwarteter Verlust der Anmeldung oder des Zugriffs, Anfragen an „/json/setup-restore“ in Netzwerkzugriffsprotokollen, Installation unbekannter Plugins (insbesondere eines mit dem Namen „web.shell.Plugin“), Verschlüsselung von Dateien oder Beschädigung von Daten usw das Erscheinen unbekannter Mitglieder in der Gruppe „confluence-administrators“ oder neu erstellter Benutzerkonten.

Da Unternehmen weiterhin mit sich weiterentwickelnden Cyber-Bedrohungen zu kämpfen haben, ist es für Sicherheitsteams von entscheidender Bedeutung, über die neuesten Schwachstellen, Verstöße und aufkommenden Trends auf dem Laufenden zu bleiben. Durch das Abonnieren zuverlässiger Quellen für Cybersicherheitsinformationen können Fachleute sicherstellen, dass sie gut darauf vorbereitet sind, ihre Systeme und Daten vor potenziellen Angriffen zu schützen.

Häufig gestellte Fragen (FAQ)

F: Was ist Atlassian Confluence?

Atlassian Confluence ist ein beliebtes Kollaborations- und Content-Management-Tool, das von Atlassian entwickelt wurde. Es ermöglicht Teams, Projekte und Dokumente auf einer zentralen und zugänglichen Plattform zu erstellen, zu organisieren und gemeinsam daran zu arbeiten.

F: Was ist CVE-2023-22518?

CVE-2023-22518 bezieht sich auf eine Sicherheitslücke bei unsachgemäßer Autorisierung, die im Atlassian Confluence Data Center und Server identifiziert wurde. Es ermöglicht nicht authentifizierten Angreifern, Confluence zurückzusetzen und Administratorrechte zu erlangen, was möglicherweise zu einer vollständigen Gefährdung der Systemintegrität führt.

F: Wie können Organisationen das mit dieser Sicherheitslücke verbundene Risiko mindern?

Um das Risiko zu mindern, sollten Unternehmen die erforderlichen Patches und Updates von Atlassian umgehend anwenden. Sie sollten außerdem die Systemprotokolle auf verdächtige Aktivitäten überwachen, wie zum Beispiel unerwartete Anmeldeverluste, ungewöhnliche Netzwerkanfragen oder nicht autorisierte Plugin-Installationen. Darüber hinaus kann die Ausübung des Least-Privileg-Zugriffs und die regelmäßige Schulung der Mitarbeiter über Best Practices im Bereich Cybersicherheit dazu beitragen, die Ausnutzung dieser Schwachstelle zu verhindern.

F: Sind Cloud-Instanzen von Atlassian Confluence betroffen?