Alert!

Angriffe auf Code-Execution-Lücke bedrohen Confluence-Installationen​

Seit Anfang der Woche installieren Angreifer Backdoors über eine neue Lücke in Confluence. Admins sollten noch vor dem langen Wochenende Maßnahmen ergreifen.

In Pocket speichern vorlesen Druckansicht 102 Kommentare lesen

(Bild: freeimage.com/Robert Kolmhofer)

Update
Lesezeit: 2 Min.

Atlassian warnt vor einer schweren Sicherheitslücke in Confluence (CVE-2022-26134). Angreifer können Schadcode ausführen und Backdoors hochladen, ohne sich zuvor in der betroffenen Confluence-Instanz authentifizieren zu müssen. Sollte sich diese erste Einschätzung bewahrheiten, so dürfte es sich um eine der schwersten Sicherheitslücken der vergangenen Jahre in einem Atlassian-Produkt handeln. Für nicht authentifizierte Codeausführung wird regelmäßig ein CVSS-Score von 9,0 oder höher vergeben.

Gemäß Atlassins aktualisiertem Advisory 2022-06-02 sind sowohl Confluence Server als auch Confluence Data Center in allen unterstützten Versionen angreifbar. Die Cloud-Variante von Confluence ist laut Atlassian sicher vor Angriffen, unter dem Eindruck der kürzlichen Großstörung dürften jedoch einige Nutzer wieder zu selbst verwalteten Installationen gewechselt sein.

Die Sicherheitslücke wird mindestens seit dem vergangenem Wochenende aktiv ausgenutzt und wurde von der Security-Firma Volexity analysiert sowie an Atlassian gemeldet. Demnach installierten die Angreifer bevorzugt eine Webshell namens China Chopper, die ihnen Zugriff auf das System gewährt. Ein Patch ist zur Stunde noch nicht verfügbar, Confluence-Admins werden daher vor dem langen Pfingstwochenende andere Sicherheitsmaßnahmen ergreifen müssen.

Das bedeutet im Wesentlichen, dass man den Zugang zu Confluence möglichst einschränken sollte. Das kann im einfachsten Fall eine vorgeschaltete Passwort-Abfrage etwa via HTTP-Basic-Auth-Sperre sein oder die Beschränkung auf Zugriffe aus dem Intranet beziehungsweise VPN. Im Zweifelsfall wäre auch eine temporäre Abschaltung des Servers zu rechtfertigen.

Update 3.Juni 2022, 10:10: Verwundbare Versionen gemäß aktualisierten Angaben von Atlassian angepasst.

2. Update 3.Juni 2022, 21:20: Atlassian hat jetzt aktualisierte Versionen 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 und 7.18.1 veröffentlicht, die die Lücke schließen. Außerdem beschreiben sie im Advisory einen temporären Workaround.

(ju)