Pod koniec sierpnia Atlassian, firma produkująca takie narzędzia jak Jira, Confluence i Hipchat, poinformowała o wydaniu aktualizacji eliminującej lukę CVE-2021-26084 w swoim korporacyjnym narzędziu wiki, Confluence. Od tamtego czasu eksperci ds. bezpieczeństwa zaobserwowali powszechne wyszukiwanie podatnych na ataki serwerów Confluence i aktywne próby wykorzystania ich. Administratorom serwerów Confluence zalecamy jak najszybsze zainstalowanie aktualizacji.
Informacje o luce CVE-2021-26084
CVE-2021-26084 to luka w zabezpieczeniach oprogramowania Confluence. Wywodzi się z użycia języka nawigacji Object-Graph (OGNL) w systemie znaczników Confluence. Opisywana luka umożliwia wstrzyknięcie kodu OGNL, a tym samym wykonanie dowolnego kodu na komputerach z zainstalowanym oprogramowaniem Confluence Server lub Confluence Data Center. W niektórych przypadkach lukę tę może wykorzystać nawet użytkownik, który nie jest uwierzytelniony (jeśli opcja „Zezwalaj innym osobom na rejestrację w celu utworzenia konta” jest aktywna).
Firma Atlassian uważa tę lukę za krytyczną. Został jej przypisany wskaźnik ważności 9.8 CVSS, a w internecie jest już dostępnych kilka dowodów potwierdzających koncepcję jej wykorzystania, w tym wersja umożliwiająca zdalne wykonanie kodu (RCE).
Które wersje oprogramowania Confluence są podatne na ataki?
Sytuacja jest nieco skomplikowana. Klienci firmy Atlassian używają różnych wersji Confluence i raczej nie wykonują aktualizacji na czas. Zgodnie z oficjalnym opisem Atlassian wydane zostały aktualizacje dla wersji 6.13.23, 7.4.11, 7.11.6, 7.12.5 i 7.13.0. Dzięki temu lukę CVE-2021-26084 można wykorzystać w wersjach oprogramowania Confluence Server wcześniejszych niż 6.13.23, czyli od 6.14.0 do 7.4.11, od 7.5.0 do 7.11.6 i od 7.12.0 do 7.12.5. Luka ta nie dotyczy użytkowników usługi Confluence Cloud.
Jak zachować bezpieczeństwo
Firma Atlassian zaleca korzystanie z najnowszej wersji oprogramowania Confluence, czyli 7.13.0. Jeśli nie jest to możliwe, użytkownicy wersji 6.13.x powinni zaktualizować ją do wersji 6.13.23; 7.4.x do 7.4.11, 7.11.x do 7.11.6, a 7.12.x do 7.12.5. Osobom, które nie mogą wykonać nawet tych aktualizacji przyrostowych, firma oferuje kilka kroków pozwalających tymczasowo zapewnić bezpieczeństwo dla rozwiązań opartych na systemach Linux i Microsoft Windows.
Komputery, na których uruchomiony jest Confluence, są w zasadzie takimi punktami końcowymi, jak każdy inny serwer. I podobnie jak każdy inny serwer potrzebują dobrego rozwiązania zabezpieczającego, aby znacznie utrudnić uruchamianie dowolnego kodu.
Należy również pamiętać, że zdalne wykorzystanie luki wymagałoby od atakujących przedostania się do sieci firmy. Na szczęście eksperci wykorzystujący usługi klasy Managed Detection and Response potrafią wykrywać tego rodzaju podejrzaną aktywność. Ostatecznie dostęp do Confluence powinien być ograniczony — do wewnętrznych usług firmy nie powinien mieć dostępu nikt spoza firmy.