-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.04 ############################# Titel : Kwetsbaarheid verholpen in Atlassian Confluence Advisory ID : NCSC-2021-0761 Versie : 1.04 Kans : high CVE ID : CVE-2021-26084 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high (Remote) code execution (Gebruikersrechten) Uitgiftedatum : 20211005 Toepassing : Atlassian Confluence Versie(s) : < 6.13.23 < 7.4.11 < 7.11.6 < 7.12.5 < 7.13.0 Platform(s) : Update Beveiligingsonderzoekers hebben een nieuwe groep kwaadwillenden geïdentificeerd, welke misbruik maakt van deze kwetsbaarheid om Ransomware te verspreiden via kwetsbare Confluence systemen. Dit beveiligingsadvies blijft ongewijzigd op HIGH/HIGH met het dringende advies de updates te installeren, indien dit nog niet is uitgevoerd. Beschrijving Er is een kwetsbaarheid verholpen in Atlassian Confluence. Een ongeauthenticeerde kwaadwillende op afstand kan de kwetsbaarheid mogelijk misbruiken om willekeurige code uit te voeren onder de rechten van de applicatie. Hiertoe dient een malafide HTTP-request naar de kwetsbare server te worden verstuurd. Het NCSC signaleert veel aandacht voor deze kwetsbaarheid. Daarnaast wordt actief misbruik gemeld. Voor de kwetsbaarheid is proof-of-conceptcode publiek beschikbaar en misbruik ervan is triviaal. Inmiddels verspreidt een groep kwaadwillenden actief Ransomware middels deze kwetsbaarheid. Een analyserapport omtrent deze groep en de betrokken Ransomware kunt u via onderstaande link nalezen: https://news.sophos.com/en-us/2021/10/04 /atom-silo-ransomware-actors-use-confluence-exploit-dll-side-load -for-stealthy-attack/ Organisaties worden opgeroepen om de door Atlassian beschikbaar gestelde beveiligingsupdates zo spoedig mogelijk te installeren. Mogelijke oplossingen Atlassian heeft updates uitgebracht om de kwetsbaarheid te verhelpen in Confluence. Voor meer informatie, zie: https://confluence.atlassian.com/doc /confluence-security-advisory-2021-08-25-1077906215.html -= Detectie van misbruik =- Misbruik van deze kwetsbaarheid laat mogelijk sporen achter in een logbestand genaamd "atlassian-confluence.log". Bij het uitvoeren van de malafide HTTP-request wordt een regel naar dit bestand weggeschreven waarin het pad "/pages/createpage-entervariables.action" voorkomt. De volledige regel ziet er exclusief aanhalingstekens als volgt uit, waarbij XXX variabel is: "-- url: /pages/createpage-entervariables.action | traceId: XXX | userName: anonymous | action: createpage-entervariables" Indien deze regel in het logbestand voorkomt, is het raadzaam om aanvullend forensisch onderzoek uit te voeren. Wanneer u gebruik maakt van een reverse-proxy als Apache of Nginx kunt u bijvoorbeeld ook de logbestanden van de desbetreffende reverse-proxy onderzoeken. Indien u in deze logbestanden een POST-request naar "/pages/createpage-entervariables.action" tegenkomt, is dat een aanvullende indicatie dat de kwetsbaarheid op uw systeem is misbruikt. Belangrijk om te vermelden is dat de aanwezigheid van bovenstaande IOC's niet impliceert dat uw systeem daadwerkelijk is gecompromitteerd. Scans van bijvoorbeeld beveiligingsonderzoekers die op zoek zijn naar kwetsbare systemen zullen mogelijk ook tot gevolg hebben dat bovenstaande IOC's in logbestanden voorkomen. Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYVwxpeEs56R4sCd0AQq5Sgv/ZB0UR22OyVJH6Jl1RWqb9Wqmn6Cr094b HL1qWnD4QAKRs3pwlOniiBCgbBdaZV8qbrHPYKIVN1g4oK2jlDiCU02XMQ+I0we1 VzIauz3zFOvVJC6qHnjectT7lANVBemNDv11MrBLiL32KcuKUJWDkOIz9LRnF6+N xABdkhEiZYUTGttQ74MwaS6Tgt3fXepiJDSDBOB66yizEZ7FjTALknWGzwfm/ZWi lXh2tStP/C8K/YKLTeHxW6ZoMhyCA96D5mz3ceJ5jpSQ4zQYuit7FjbM3qkooO5F AMEKjOrHqcEPRswKRpqjNNOxxlahCkKEMZIr5qhuoncm6zDj21/6kFMI1XHOc/Rw q7SXkuCum6zbyktQeO7qvhWdL7+py/wHkq77+4Ff/ki9EZPCRVqenTtZzfX7y3T1 fpi6P+iQeNCSXXJHcvcY53Yl7psS5wtqcYl8E7GtkgldQblQJfDkJjYNTzS4RdCf qKT0t8mO6zEb2+vENR1otGY0vY/DR7cs =jnes -----END PGP SIGNATURE-----