Jetzt patchen! Confluence Data Center: Angreifer machen sich zu Admins

Derzeit gibt es Angriffe auf bestimmte Versionen von Confluence Data Center und Confluence Server. Admins sollten zügig reagieren und die verfügbaren Sicherheitsupdates installieren.

Sicherheitsupdates

Wie aus einer Warnmeldung hervorgeht, ist die geschlossene Sicherheitslücke (CVE-2023-22515) als "kritisch" mit Höchstwertung (CVSS 3.0 Score 10 von 10) eingestuft. Atlassian zufolge sind Versionen vor 8.0.0 und Cloud-Sites davon nicht bedroht. Die Entwickler geben an, das Sicherheitsproblem in den Ausgaben 8.3.3, 8.4.3 und 8.5.2 gelöst zu haben.

Atlassian spricht von einer Handvoll Kunden, bei denen Attacken auf öffentlich zugängliche Confluence-Instanzen stattgefunden haben. Im Anschluss sollen sich Angreifer Admin-Rechte aneignen und auf Systeme zugreifen. Aufgrund der kritischen Einstufung ist nach einer erfolgreichen Attacke von einer vollständigen Kompromittierung von Systemen auszugehen.

Systeme absichern

Wenn Admins die Updates nicht direkt installieren können, sollten sie Instanzen temporär über einen Workaround absichern. Im Anschluss ist der externe Netzwerkzugriff eingeschränkt. Wie das geht, führen die Entwickler in der Warnmeldung aus.

Außerdem sollten Admins Ausschau nach Hinweisen auf eine Kompromittierung halten. Das sind etwa plötzlich auftauchende Admin-Konten und Einträge zu den Endpunkten /setup/*.action oder /server-info.action im Netzwerk-Log. Das Installieren von Sicherheitsupdates schließt zwar die Sicherheitslücke, von Angreifern angelegte Konten bleiben aber bestehen. Bei Instanzen, die nicht über das Internet erreichbar sind, ist das Angriffsrisiko geringer, aber nicht ausgeschlossen. Weitere wichtige Informationen zur Lücke hat Atlassian in einer FAQ zusammengetragen.

(des)