-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.03 #############################

Titel           : Kwetsbaarheid verholpen in Atlassian Confluence
Advisory ID     : NCSC-2021-0761
Versie          : 1.03
Kans            : high
CVE ID          : CVE-2021-26084
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Gebruikersrechten)
Uitgiftedatum   : 20210903
Toepassing      : Atlassian Confluence
Versie(s)       : < 6.13.23
                  < 7.4.11
                  < 7.11.6
                  < 7.12.5
                  < 7.13.0
Platform(s)     :

Update
   Aan dit beveiligingsadvies zijn IOC's toegevoegd aan de hand waarvan
   mogelijk misbruik kan worden gedetecteerd. Zie "Mogelijke
   oplossingen" voor meer informatie. De inschaling van dit
   beveiligingsadvies blijft onverminderd HIGH/HIGH.

Beschrijving
   Er is een kwetsbaarheid verholpen in Atlassian Confluence. Een
   ongeauthenticeerde kwaadwillende op afstand kan de kwetsbaarheid
   mogelijk misbruiken om willekeurige code uit te voeren onder de
   rechten van de applicatie. Hiertoe dient een malafide HTTP-request
   naar de kwetsbare server te worden verstuurd.

   Het NCSC signaleert veel aandacht voor deze kwetsbaarheid. Daarnaast
   wordt actief misbruik gemeld. Voor de kwetsbaarheid is
   proof-of-conceptcode publiek beschikbaar en misbruik ervan is
   triviaal. Organisaties worden opgeroepen om de door Atlassian
   beschikbaar gestelde beveiligingsupdates zo spoedig mogelijk te
   installeren.

Mogelijke oplossingen
   Atlassian heeft updates uitgebracht om de kwetsbaarheid te verhelpen
   in Confluence. Voor meer informatie, zie:

   https://confluence.atlassian.com/doc
      /confluence-security-advisory-2021-08-25-1077906215.html

   -= Detectie van misbruik =-
   Misbruik van deze kwetsbaarheid laat mogelijk sporen achter in een
   logbestand genaamd "atlassian-confluence.log". Bij het uitvoeren van
   de malafide HTTP-request wordt een regel naar dit bestand
   weggeschreven waarin het pad
   "/pages/createpage-entervariables.action" voorkomt. De volledige
   regel ziet er exclusief aanhalingstekens als volgt uit, waarbij XXX
   variabel is:

   "-- url: /pages/createpage-entervariables.action | traceId: XXX |
   userName: anonymous | action: createpage-entervariables"

   Indien deze regel in het logbestand voorkomt, is het raadzaam om
   aanvullend forensisch onderzoek uit te voeren. Wanneer u gebruik
   maakt van een reverse-proxy als Apache of Nginx kunt u bijvoorbeeld
   ook de logbestanden van de desbetreffende reverse-proxy onderzoeken.
   Indien u in deze logbestanden een POST-request naar
   "/pages/createpage-entervariables.action" tegenkomt, is dat een
   aanvullende indicatie dat de kwetsbaarheid op uw systeem is
   misbruikt.

   Belangrijk om te vermelden is dat de aanwezigheid van bovenstaande
   IOC's niet impliceert dat uw systeem daadwerkelijk is
   gecompromitteerd. Scans van bijvoorbeeld beveiligingsonderzoekers
   die op zoek zijn naar kwetsbare systemen zullen mogelijk ook tot
   gevolg hebben dat bovenstaande IOC's in logbestanden voorkomen.

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=4Q2V
-----END PGP SIGNATURE-----