Kritieke zero-day kwetsbaarheid in Atlassian Confluence Server en Confluence Datacenter

Nieuwsbericht | 03-06-2022 | 15:05

Door de kwetsbaarheid kan een kwaadwillende willekeurige code uitvoeren met rechten van de applicatie en zo ook toegang krijgen tot gevoelige gegevens binnen de scope van de getroffen installatie. Waarschijnlijk zijn op dit moment alle versies kwetsbaar zijn. Atlassian doet momenteel nader onderzoek naar wat de eerst bekende versie is die kwetsbaar is. Een proof-of-concept code is nog niet publiek beschikbaar.

Volexity, het bedrijf dat de kwetsbaarheid heeft ontdekt, geeft aan dat de kwetsbaarheid makkelijk te misbruiken is. Misbruik is op dit moment volgens Volexity beperkt waargenomen.

Mitigerende maatregelen

Atlassian verwacht dat er binnen 24 uur updates voor ondersteunde versies beschikbaar gemaakt zullen worden (einde van de dag op 3 juni Pacific Time). Het NCSC adviseert deze updates direct te implementeren zodra deze beschikbaar zijn. In de tussentijd adviseert Atlassian mitigerende maatregelen te treffen om de risico's te beperken. Allereerst wordt geadviseerd om externe toegang tot de Confluence Server en Confluence Data Center te verbreken of de applicatie uit te schakelen tot de update beschikbaar is. Indien dit niet mogelijk is, kan een Web Application Firewall (WAF) rule worden geïmplementeerd die URL's met ${ blokkeert. Dit is echter slechts een risicobeperkende maatregel. Ook wordt aangeraden netwerk verkeer te monitoren. Volexity heeft IOC’s en YARA rules gedeeld.  

Het NCSC raadt aan, indien mogelijk, deze maatregelen op te volgen. Het is aan organisaties zelf om een afweging te maken met betrekking tot de impact hiervan op primaire processen. Het NCSC houdt de situatie omtrent deze kwetsbaarheid nauwlettend in de gaten en zal verdere relevante informatie publiceren op deze website.