-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.03 ############################# Titel : Kwetsbaarheid verholpen in Atlassian Confluence Advisory ID : NCSC-2021-0761 Versie : 1.03 Kans : high CVE ID : CVE-2021-26084 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high (Remote) code execution (Gebruikersrechten) Uitgiftedatum : 20210903 Toepassing : Atlassian Confluence Versie(s) : < 6.13.23 < 7.4.11 < 7.11.6 < 7.12.5 < 7.13.0 Platform(s) : Update Aan dit beveiligingsadvies zijn IOC's toegevoegd aan de hand waarvan mogelijk misbruik kan worden gedetecteerd. Zie "Mogelijke oplossingen" voor meer informatie. De inschaling van dit beveiligingsadvies blijft onverminderd HIGH/HIGH. Beschrijving Er is een kwetsbaarheid verholpen in Atlassian Confluence. Een ongeauthenticeerde kwaadwillende op afstand kan de kwetsbaarheid mogelijk misbruiken om willekeurige code uit te voeren onder de rechten van de applicatie. Hiertoe dient een malafide HTTP-request naar de kwetsbare server te worden verstuurd. Het NCSC signaleert veel aandacht voor deze kwetsbaarheid. Daarnaast wordt actief misbruik gemeld. Voor de kwetsbaarheid is proof-of-conceptcode publiek beschikbaar en misbruik ervan is triviaal. Organisaties worden opgeroepen om de door Atlassian beschikbaar gestelde beveiligingsupdates zo spoedig mogelijk te installeren. Mogelijke oplossingen Atlassian heeft updates uitgebracht om de kwetsbaarheid te verhelpen in Confluence. Voor meer informatie, zie: https://confluence.atlassian.com/doc /confluence-security-advisory-2021-08-25-1077906215.html -= Detectie van misbruik =- Misbruik van deze kwetsbaarheid laat mogelijk sporen achter in een logbestand genaamd "atlassian-confluence.log". Bij het uitvoeren van de malafide HTTP-request wordt een regel naar dit bestand weggeschreven waarin het pad "/pages/createpage-entervariables.action" voorkomt. De volledige regel ziet er exclusief aanhalingstekens als volgt uit, waarbij XXX variabel is: "-- url: /pages/createpage-entervariables.action | traceId: XXX | userName: anonymous | action: createpage-entervariables" Indien deze regel in het logbestand voorkomt, is het raadzaam om aanvullend forensisch onderzoek uit te voeren. Wanneer u gebruik maakt van een reverse-proxy als Apache of Nginx kunt u bijvoorbeeld ook de logbestanden van de desbetreffende reverse-proxy onderzoeken. Indien u in deze logbestanden een POST-request naar "/pages/createpage-entervariables.action" tegenkomt, is dat een aanvullende indicatie dat de kwetsbaarheid op uw systeem is misbruikt. Belangrijk om te vermelden is dat de aanwezigheid van bovenstaande IOC's niet impliceert dat uw systeem daadwerkelijk is gecompromitteerd. Scans van bijvoorbeeld beveiligingsonderzoekers die op zoek zijn naar kwetsbare systemen zullen mogelijk ook tot gevolg hebben dat bovenstaande IOC's in logbestanden voorkomen. Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYTIzGuEs56R4sCd0AQrdsQv/ZjiDfebAsjSUxktZ595b824XfDVr/INj 79sc4zR23AFYKmmKaDE6mAHME4DuGX58HsW6MZOKF9cqjdaKZzxCIYnWQ5vMHJOw 5SkZqS6+KYgntX3vTwECQR6bcL2cF7o/RnrNAQEVWuDF2g13e7B0JDrZNIxxoFfl Ji4DVdbrBsa15uSGbJO1pv5l1NkVMTWjVNGNF/IQC/o/odFiLzQLgxLOc4cHYo9b hJ3P9NELuc4m5EThxl77kChkn/tP/L9x5NH+e41FuC7rOMtFwMgRremlybRLi0DX N/SXXtZYlysfty2NjN8x1WtaiMtZgB1rGV2NM3/PKdmsPfRUlMc0O+40WYzmhA6P DACLDPvrssFDGFN7iASYQpjyimEzCgaHdlq+f8UKp5aq+VpE4Lo17OnPVzEMMj/5 SInOeB0mZK1WrrpOnAGaw+6J14JZza8CI+QZc6yfH23FphOQl9J9nwKmbiyLF8Sd BLFO9hHLMN9yrknkN0nh+/B6AUgs807L =4Q2V -----END PGP SIGNATURE-----