Kwetsbaarheid verholpen in Atlassian Confluence
Deze pagina gebruikt slimmigheden om officiële advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De "Signed-PGP" versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).
| Publicatie | Kans | Schade | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Versie 1.04 | 05-10-2021 | NCSC-2021-0761 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 05-10-2021 |
high
|
high
|
NCSC-2021-0761 [1.04] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Kenmerken |
|
||||||||||||||||||||||||||||||||||||
| Omschrijving |
Er is een kwetsbaarheid verholpen in Atlassian Confluence. Een ongeauthenticeerde kwaadwillende op afstand kan de kwetsbaarheid mogelijk misbruiken om willekeurige code uit te voeren onder de rechten van de applicatie. Hiertoe dient een malafide HTTP-request naar de kwetsbare server te worden verstuurd. Het NCSC signaleert veel aandacht voor deze kwetsbaarheid. Daarnaast wordt actief misbruik gemeld. Voor de kwetsbaarheid is proof-of-conceptcode publiek beschikbaar en misbruik ervan is triviaal. Inmiddels verspreidt een groep kwaadwillenden actief Ransomware middels deze kwetsbaarheid. Een analyserapport omtrent deze groep en de betrokken Ransomware kunt u via onderstaande link nalezen [Link] Organisaties worden opgeroepen om de door Atlassian beschikbaar gestelde beveiligingsupdates zo spoedig mogelijk te installeren. |
||||||||||||||||||||||||||||||||||||
| Bereik |
|
||||||||||||||||||||||||||||||||||||
| Oplossingen |
Atlassian heeft updates uitgebracht om de kwetsbaarheid te verhelpen in Confluence. Voor meer informatie, zie [Link] Detectie van misbruikMisbruik van deze kwetsbaarheid laat mogelijk sporen achter in een logbestand genaamd "atlassian-confluence.log". Bij het uitvoeren van de malafide HTTP-request wordt een regel naar dit bestand weggeschreven waarin het pad "/pages/createpage-entervariables.action" voorkomt. De volledige regel ziet er exclusief aanhalingstekens als volgt uit, waarbij XXX variabel is: "-- url: /pages/createpage-entervariables.action | traceId: XXX | userName: anonymous | action: createpage-entervariables" Indien deze regel in het logbestand voorkomt, is het raadzaam om aanvullend forensisch onderzoek uit te voeren. Wanneer u gebruik maakt van een reverse-proxy als Apache of Nginx kunt u bijvoorbeeld ook de logbestanden van de desbetreffende reverse-proxy onderzoeken. Indien u in deze logbestanden een POST-request naar "/pages/createpage-entervariables.action" tegenkomt, is dat een aanvullende indicatie dat de kwetsbaarheid op uw systeem is misbruikt. Belangrijk om te vermelden is dat de aanwezigheid van bovenstaande IOC's niet impliceert dat uw systeem daadwerkelijk is gecompromitteerd. Scans van bijvoorbeeld beveiligingsonderzoekers die op zoek zijn naar kwetsbare systemen zullen mogelijk ook tot gevolg hebben dat bovenstaande IOC's in logbestanden voorkomen. |
||||||||||||||||||||||||||||||||||||
| CVE’s | |||||||||||||||||||||||||||||||||||||
| Kans |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.
|
||||||||||||||||||||||||||||||||||||
| Schade |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.
|
||||||||||||||||||||||||||||||||||||
| Versie 1.04 | 05-10-2021 | NCSC-2021-0761 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 05-10-2021 |
high
|
high
|
NCSC-2021-0761 [1.04] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Beveiligingsonderzoekers hebben een nieuwe groep kwaadwillenden geïdentificeerd, welke misbruik maakt van deze kwetsbaarheid om Ransomware te verspreiden via kwetsbare Confluence systemen. Dit beveiligingsadvies blijft ongewijzigd op HIGH/HIGH met het dringende advies de updates te installeren, indien dit nog niet is uitgevoerd. |
||||||||||||||||||||||||||||||||||||
| Versie 1.03 | 03-09-2021 | NCSC-2021-0761 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 03-09-2021 |
high
|
high
|
NCSC-2021-0761 [1.03] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Aan dit beveiligingsadvies zijn IOC's toegevoegd aan de hand waarvan mogelijk misbruik kan worden gedetecteerd. De inschaling van dit beveiligingsadvies blijft onverminderd HIGH/HIGH. |
||||||||||||||||||||||||||||||||||||
| Versie 1.02 | 03-09-2021 | NCSC-2021-0761 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 03-09-2021 |
high
|
high
|
NCSC-2021-0761 [1.02] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
De inschaling van dit beveiligingsadvies is bijgesteld naar HIGH/HIGH. Het NCSC signaleert veel aandacht voor deze kwetsbaarheid. Daarnaast wordt actief misbruik gemeld. Alhoewel de impact volgens ons inschalingsmodel MEDIUM is kan de gevolgschade groot zijn. Organisaties worden opgeroepen om de door Atlassian beschikbaar gestelde beveiligingsupdates zo spoedig mogelijk te installeren. |
||||||||||||||||||||||||||||||||||||
| Versie 1.01 | 02-09-2021 | NCSC-2021-0761 | |||||||||||||||||||||||||||||||||||
|
high
|
medium
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 02-09-2021 |
high
|
medium
|
NCSC-2021-0761 [1.01] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Over deze kwetsbaarheid is een write-up verschenen waarin wordt uitgelegd hoe de kwetsbaarheid kan worden misbruikt. In de write-up wordt tevens proof-of-conceptcode gedeeld. Daarnaast heeft het NCSC signalen ontvangen dat vanaf het internet actief scans worden uitgevoerd op zoek naar kwetsbare systemen. De inschaling van dit beveiligingsadvies blijft ongewijzigd HIGH/MEDIUM. |
||||||||||||||||||||||||||||||||||||
| Versie 1.00 | 26-08-2021 | NCSC-2021-0761 | |||||||||||||||||||||||||||||||||||
|
high
|
medium
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 26-08-2021 |
high
|
medium
|
NCSC-2021-0761 [1.00] | Signed-PGP → | |||||||||||||||||||||||||||||||||
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.