Jetzt patchen: Kritische Sicherheitslücke in Confluence aufgetaucht

Dass sich Bala Sathiamurthy, Atlassians Chief Information Security Officer (CISO), persönlich an seine Kunden wendet, ist eher selten. In einem vor wenigen Stunden veröffentlichten Sicherheitshinweis richtet der Sicherheitschef des Unternehmens jedoch eine dringende Botschaft an alle Admins: Kunden sollen unverzüglich Patches für eine frisch entdeckte Lücke in Confluence einspielen.

Wie Sathiamurthy mitteilt, sei bei einer Sicherheitsüberprüfung eine Lücke in den Confluence-Versionen "Server" und "Data Center" aufgetaucht, die es nicht angemeldeten Angreifern ermöglicht, Daten des beliebten Kollaborations-Werkzeugs zu vernichten. Details zur Sicherheitslücke spart der Atlassian-CISO aus. Lediglich aus dem Titel des Sicherheitshinweises lässt sich ableiten, dass es sich offenbar erneut um einen Fehler in der Rechtelogik der Wiki-Software handelt. Sathiamurthy versichert jedoch, dass der Bug seines Wissens derzeit nicht aktiv durch Kriminelle ausgenutzt werde.

Das Sicherheitsproblem hat die CVE-ID CVE-2023-22518 und einen mit einem CVSS-Score von 9.1 den Schweregrad "kritisch". Wie bereits bei der jüngst veröffentlichten Confluence-Lücke sind auch dieses Mal Kunden des Atlassian-eigenen Cloud-Hostings nicht betroffen. Wer jedoch eigene Confluence-Server betreibt, sollte sich mit dem Update sputen.

Alle Confluence-Versionen betroffen

Die Lücke findet sich in allen je veröffentlichten Versionen von Confluence, die fehlerbereinigten Ausgaben tragen Versionsnummern ab 7.19.16, 8.3.4, 8.4.4, 8.5.3 und 8.6.1. Wer nicht patchen kann, der möge unverzüglich ein Backup seiner Confluence-Instanz erstellen und sie vom Internet abkoppeln, empfiehlt der Hersteller.

Confluence ist nicht nur bei Unternehmen beliebt. Kürzlich konnten ukrainische Cyber-Aktivisten die Ransomwaregang Trigona außer Gefecht setzen, indem sie deren Confluence-Instanz infiltrierten und nach eigener Aussage "vollkommen zerstörten".

(cku)