Ende August kündigte Atlassian, das Unternehmen, das hinter Tools wie Jira, Confluence und Hipchat steht, die Veröffentlichung eines Updates an, um die Sicherheitslücke CVE-2021-26084 in seinem Corporate Wiki Tool „Confluence“ zu schließen. Seitdem haben Sicherheitsexperten eine weit verbreitete Suche nach anfälligen Confluence-Servern und aktive Versuche zur Ausnutzung der Schwachstelle beobachtet. Wir empfehlen allen Confluence-Server-Administratoren, schnellstmöglich ein Update durchzuführen.
Was ist CVE-2021-26084?
CVE-2021-26084 ist eine Sicherheitslücke in Confluence. Sie hat ihren Ursprung in der Verwendung der Object-Graph Navigation Language (OGNL) im Tag-System von Confluence. Die Schwachstelle ermöglicht die Injektion von OGNL-Code und damit die Ausführung von beliebigem Code auf Computern, auf denen Confluence Server oder Confluence Data Center installiert ist. In einigen Fällen kann die Schwachstelle sogar von einem nicht authentifizierten Benutzer ausgenutzt werden (falls die Option „Allow people to sign up to create their account“ aktiviert ist).
Mit einer Bewertung von 9,8 stuft Atlassian diese Sicherheitslücke als kritisch ein. Diverse Proof-of-Concepts für ihren Exploit, einschließlich einer Version, die die Remotecodeausführung (RCE) ermöglicht, sind bereits online verfügbar.
Welche Versionen von Confluence sind anfällig?
Die Lage ist scheint recht kompliziert. Kunden von Atlassian verwenden unterschiedliche Versionen von Confluence. Zudem sind Unternehmen nicht dafür bekannt, zeitnahe Updates durchzuführen. Laut offiziellen Angaben von Atlassian hat das Unternehmen Updates für die Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0 veröffentlicht. Damit bleibt CVE-2021-26084 für Confluence Server-Versionen vor 6.13.23, von 6.14.0 bis 7.4.11, von 7.5.0 bis 7.11.6 und von 7.12.0 bis 7.12.5 ausnutzbar. Die Sicherheitslücke betrifft keine Confluence Cloud-Benutzer.
So können Sie sich schützen
Atlassian empfiehlt die Installation der neuesten Confluence-Version, d.h. 7.13.0. Falls dies nicht möglich ist, wird Nutzern von 6.13.x-Versionen empfohlen, auf 6.13.23, 7.4.x auf 7.4.11, 7.11.x auf 7.11.6 und 7.12.x auf 7.12.5 aufzurüsten. Das Unternehmen bietet auch mehrere temporäre Workarounds für Linux- und Microsoft Windows-basierte Lösungen an, für diejenigen, die nicht einmal diese inkrementellen Updates durchführen können.
Maschinen, auf denen Confluence läuft, sind Endpunkte, genau wie jeder andere Server. Und genau wie jeder andere Server benötigen sie eine gute Sicherheitslösung, um die Ausführung von beliebigem Code erheblich zu erschweren.
Bedenken Sie, dass Angreifer, die die Schwachstelle aus der Ferne ausnutzen möchten, in das Unternehmensnetzwerk eindringen müssten. Experten Managed Detection and Response -Diensten können diese Art von verdächtigen Aktivitäten erkennen. Es ist auch erwähnenswert, dass der Zugriff auf Confluence eingeschränkt werden sollte – niemand außerhalb des Unternehmens sollte Zugang zu internen Unternehmensdiensten haben.