Η CISA (Ρυθμιστικός Φορέας Κυβερνοασφάλειας και Ασφάλειας Δομών) πρόσθεσε την ευπάθεια ενσωμάτωσης προτύπων (Template Injection) στο Atlassian Confluence Data Center και Server στον κατάλογο των Εκμεταλλευθέντων Ευπάθειών (KEV).
Η Atlassian πρόσφατα εξέδωσε προειδοποίηση σχετικά με μια κρίσιμη ευπάθεια εκτέλεσης κώδικα απομακρυσμένων εφαρμογών, με ετικέτα CVE-2023-22527 (βαθμολογία CVSS 10,0), στο Confluence Data Center και Confluence Server που επηρεάζει παλαιότερες εκδόσεις.
Αυτή η ευπάθεια είναι μια ελλάτωση ενσωμάτωσης προτύπων που επιτρέπει σε απομακρυσμένους επιτιθέμενους να εκτελέσουν αυθαίρετο κώδικα σε ευάλωτες εγκαταστάσεις του Confluence.
Η ευπάθεια αφορά στις εκδόσεις 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x και 8.5.0 έως 8.5.3 των Confluence Data Center και Server. Οι πιο πρόσφατες υποστηριζόμενες εκδόσεις του Confluence Data Center και Server δεν επηρεάζονται.
Σύμφωνα με την ανακοίνωση του κατασκευαστή, “Η ευπάθεια ενσωμάτωσης προτύπων σε παλαιότερες εκδόσεις του Confluence Data Center και Server επιτρέπει σε έναν μη πιστοποιημένο επιτιθέμενο να εκτελέσει κώδικα απομακρυσμένα στην επηρεαζόμενη έκδοση. Οι πελάτες που χρησιμοποιούν την επηρεαζόμενη έκδοση πρέπει να λάβουν άμεσα μέτρα.” “Αυτή η ευπάθεια εκτέλεσης κώδικα απομακρυσμένα επηρεάζει παλαιότερες εκδόσεις του Confluence Data Center και Server 8 που κυκλοφόρησαν πριν τις 5 Δεκεμβρίου 2023, και το 8.4.5, το οποίο δεν λαμβάνει πλέον διορθώσεις ευπαθειών ανάδρομων ασφάλειας σύμφωνα με την πολιτική μας για διορθώσεις ευπαθειών ασφάλειας. Η Atlassian συνιστά την ενημέρωση στην τελευταία έκδοση.”
Η εταιρεία έχει διορθώσει την ευπάθεια με τις εκδόσεις 8.5.4 (LTS), 8.6.0 (μόνο για Data Center) και 8.7.1 (μόνο για Data Center).
Η Atlassian συστήνει στους πελάτες να εγκαταστήσουν την πιο πρόσφατη έκδοση.
Η ανακοίνωση ασφάλειας αναφέρει ότι δεν υπάρχουν γνωστά εργαρούντα ή μέτρα ανακουφισμού για τη διόρθωση αυτής της ευπαθείας.
Σύμφωνα με τη Διαταγή Λειτουργίας Δεσμευτικού (BOD) 22-01: Αντιμετώπιση Γνωστών Εκμεταλλευόμενων Ευπαθειών, τα ομοσπονδιακά υπουργεία και οργανισμοί πρέπει να αντιμετωπίσουν τις εντοπισμένες ευπαθείες εντός συγκεκριμένου χρονικού πλαισίου για την προστασία των δικτύων τους από εκμετάλλευση.
Οι ειδικοί συμβουλεύουν επίσης τις ιδιωτικές επιχειρήσεις να ελέγξουν τον κατάλογο και να αντιμετωπίσουν ευπαθείες στην υποδομή τους.
Η CISA καθοδηγεί τις κυβερνητικές υπηρεσίες να αντιμετωπίσουν την ευπάθεια αυτή έως τις 14 Φεβρουαρίου 2024.
Συχνές Ερωτήσεις:
1. Ποια ασφάλειας ευπάθεια αναφέρει το άρθρο σχετικά με την Atlassian;
Το άρθρο αναφέρει την ευπάθεια ενσωμάτωσης προτύπων στο Atlassian Confluence Data Center και Server.
2. Ποια ευπάθεια ανακαλύφθηκε στο Atlassian Confluence;
Ανακαλύφθηκε μια κρίσιμη ευπάθεια εκτέλεσης κώδικα απομακρυσμένων εφαρμογών, που αναγνωρίζεται ως CVE-2023-22527 (βαθμολογία CVSS 10,0), σε παλαιότερες εκδόσεις του Confluence Data Center και Confluence Server.
3. Πώς μπορεί να εκμεταλλευτεί αυτή η ευπάθεια;
Η ενσωμάτωση προτύπων επιτρέπει σε απομακρυσμένους επιτιθέμενους να εκτελέσουν αυθαίρετο κώδικα σε ευάλωτες εγκαταστάσεις του Confluence.
4. Ποιες εκδόσεις του Confluence είναι ευάλωτες;
Οι εκδόσεις του Confluence Data Center και Server από 8.0.x έως 8.5.3 είναι ευάλωτες. Οι πιο πρόσφατες υποστηριζόμενες εκδόσεις δεν επηρεάζονται.
5. Έχει η εταιρεία δώσει patches για αυτήν την ευπάθεια;
Ναι, η εταιρεία έχει δώσει patches για αυτήν την ευπάθεια στις εκδόσεις 8.5.4 (LTS), 8.6.0 (μόνο για Data Center) και 8.7.1 (μόνο για Data Center). Συστήνεται στους πελάτες να εγκαταστήσουν την πιο πρόσφατη έκδοση.
6. Υπάρχει τρόπος να παρακαμφθεί ή να ασφαλιστεί αυτή η ευπάθεια;
Σύμφωνα με τις πληροφορίες του κατασκευαστή, δεν υπάρχουν γνωστά εργαρούντα ή μέτρα ανακουφισμού για τη διόρθωση αυτής της ευπάθείας.
7. Ποια είναι η προθεσμία για τις κυβερνητικές υπηρεσίες να διορθώσουν αυτήν την ευπάθεια;
Η CISA καθοδηγεί τις κυβερνητικές υπηρεσίες να αντιμετωπίσουν αυτήν την ευπάθεια έως τις 14 Φεβρουαρίου 2024.
Σημαντικοί Ορισμοί:
– Atlassian Confluence: Μια πλατφόρμα για την διαχείριση της γνώσης και τη συνεργασία στο πλαίσιο των οργανισμών.
– Ευπάθεια Ενσωμάτωσης Προτύπων: Μια ευπάθεια ασφάλειας που επιτρέπει την εισχώρηση κώδικα σε μια εφαρμογή με την υποκατάσταση ενός κακόβουλου προτύπου.
– CVE-2023-22527: Ένας αριθμός αναγνώρισης που ανατίθεται σε μια συγκεκριμένη ευπάθεια.
– CVSS: Ένα κλίμακα που αξιολογεί τη σοβαρότητα των ευπαθειών (0-10, με 10 να υποδηλώνει το υψηλότερο επίπεδο απειλής).
– Data Center: Η εκδοχή του Atlassian Confluence σχεδιασμένη για μεγάλες εταιρείες και οργανισμούς.
– Server: Η εκδοχή του Atlassian Confluence σχεδιασμένη για μεμονωμένους διακομιστές.
Συνιστώμενοι Σχετικοί Σύνδεσμοι:
– Αρχική Σελίδα Atlassian
– Σελίδα Προϊόντος Confluence
The source of the article is from the blog girabetim.com.br