Codeschmuggel in Atlassian-Produkten: Vier kritische LĂĽcken aufgetaucht
Admins von Confluence, Jira und Bitbucket kommen aus dem Patchen nicht heraus: Erneut hat Atlassian dringende Updates fĂĽr seine wichtigsten Produkte vorgelegt.
(Bild: JLStock/Shutterstock.com)
Wer in seinem Unternehmen fĂĽr die Wartung der lokalen Atlassian-Installationen verantwortlich ist, dĂĽrfte sich in den letzten Wochen bisweilen wie Bill Murray gefĂĽhlt haben: Es ist schon wieder Update-Murmeltiertag.
Dieses Mal erwischt es gleich drei der populärsten Anwendungen des australischen Softwareunternehmens: Sowohl im Versionskontrollsystem Bitbucket als auch in Jira und Confluence finden sich vier kritische Sicherheitslücken, die Admins umgehend stopfen sollten.
- CVE-2022-1471 (CVSSv3: 9.8/10, "kritisch") betrifft alle drei Produkte in verschiedenen Editionen und Versionen. Die Lücke erlaubt das Einschleusen fremden Codes über unsichere Deserialisierungsroutinen. Die Lücke versteckt sich in der SnakeYAML-Bibliothek und Angreifer können sie ohne vorherige Anmeldung aus der Ferne ausnutzen.
- CVE-2022-22523 (CVSSv3: 9.8/10, "kritisch") bezieht sich auf Jira Service Management mit installierter "Assets Discovery"-Anwendung. Auch hier können Angreifer ohne weitere Vorbedingungen eigenen Code einschleusen.
- CVE-2022-22524 (CVSSv3: 9.6/10, "kritisch") ist nur fĂĽr macOS-Nutzer relevant. Nutzen diese die Companion-App fĂĽr Confluence, kann ein Angreifer ohne vorherige Authentifizierung per WebSockets an der App-eigenen Blocklist und dem macOS-Gatekeeper vorbei Code einschleusen und auf dem Mac ausfĂĽhren.
- CVE-2022-22522 (CVSSv3: 9.0/10, "kritisch") erlaubt einem Angreifer mit niedrigen Privilegien, in eine Confluence-Seite Code einzufügen. Dazu ist jedoch eine Anmeldung vonnöten, auch wenn die niedrigste Rechtestufe für den Angriff ausreicht.
ZĂĽgiges Handeln dringend empfohlen
Die Liste der betroffenen Versionen sowie konkrete Schritte zur Fehlerbereinigung hat Atlassian jeweils in Sicherheitshinweisen aufgeführt, die wir in der oben stehenden Liste unter den CVE-IDs verlinkt haben. Für alle vier Lücken gilt jedoch, dass Kunden der Atlassian-Clouddienste sich in Sicherheit wiegen können. Sie brauchen nichts zu unternehmen, Atlassian führt die notwendigen Reparaturarbeiten in Eigenregie durch.
Alle anderen sollten jedoch zĂĽgig die Sicherheitshinweise lesen und umsetzen. Cyberkriminelle haben kritische Atlassian-SicherheitslĂĽcken erst kĂĽrzlich ausgenutzt, um Ransomware auf Confluence-Servern zu installieren. Zwischen Bekanntwerden der LĂĽcke und den gezielten Angriffen der Cybercrime-Gangs lag im November nur ein Zeitraum von einer Woche.
(cku)
