Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Веский повод обновить Confluence | Блог Касперского
Серьезная уязвимость CVE-2023-22515 в Atlassian Confluence Data Center и Confluence Server позволяет создавать аккаунты администратора без аутентификации.
Недавно CISA, FBI и MS-ISAC выпустили совместное предупреждение о том, что всем организациям, использующим Confluence Data Center и Confluence Server, следует срочно обновить это программное обеспечение из-за серьезной уязвимости. Рассказываем, в чем проблема и почему к этой рекомендации стоит прислушаться.
Уязвимость CVE-2023-22515 в Confluence Data Center и Confluence Server
Данная уязвимость получила обозначение CVE-2023-22515. Ей присвоен максимальный рейтинг опасности по шкале CVSS 3.0 — 10 из 10, а также статус критической. Уязвимость состоит в возможности перезапуска процесса настройки сервера, причем для этого даже не требуется аутентификация. Благодаря эксплуатации CVE-2023-22515 атакующий может получить возможность создания аккаунтов с правами администратора на уязвимом Confluence-сервере.
Под угрозой находятся только организации, использующие продукты Atlassian Confluence, предназначенные для установки на собственные серверы (то есть on-premises), — Confluence Data Center и Confluence Server. Тех клиентов, которые пользуются облачным сервисом Confluence, данная угроза не касается.
Уязвимость не затрагивает Confluence Data Center и Confluence Server версий ниже 8.0.0. Вот полный список уязвимых версий по информации, опубликованной Atlassian:
- 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4;
- 8.1.0, 8.1.1, 8.1.3, 8.1.4;
- 8.2.0, 8.2.1, 8.2.2, 8.2.3;
- 8.3.0, 8.3.1, 8.3.2;
- 8.4.0, 8.4.1, 8.4.2;
- 8.5.0, 8.5.1.
Эксплуатация «в дикой природе» и PoC на GitHub
Основная проблема состоит в том, что эту уязвимость крайне легко эксплуатировать. Дополнительно ухудшает ситуацию тот факт, что для успешной атаки на уязвимый сервер не требуется доступ к учетной записи на нем — соответственно, это значительно расширяет простор для деятельности атакующих.
Ключевой момент атаки заключается в том, что уязвимые версии Confluence Data Center и Confluence Server позволяют без аутентификации на сервере поменять значение атрибута bootstrapStatusProvider.applicationConfig.setupComplete
на false
. Тем самым атакующие реинициализируют этап начальной настройки сервера и получают возможность бесконтрольно создавать на нем собственные учетные записи администраторов.
Заметим, что угроза эта отнюдь не теоретическая — с ее помощью уже совершаются реальные атаки. Спустя неделю после обнародования информации о CVE-2023-22515 команда Microsoft Threat Intelligence обнаружила эксплуатацию данной уязвимости одной из APT-группировок.
Впрочем, как уже было сказано выше, уязвимостью в Confluence Data Center и Confluence Server крайне легко воспользоваться. Так что этим могут заняться не только высококвалифицированные хакеры из APT-группировок, но даже скучающие школьники. На GitHub уже появился Proof of Concept эксплойта для CVE-2023-22515, а также python-скрипт, который максимально упрощает ее эксплуатацию. В том числе массовую — достаточно подставить в него список адресов атакуемых серверов.
Как обезопасить свою инфраструктуру от CVE-2023-22515
Разумеется, в идеале стоит обновить ваш Confluence Data Center или Confluence Server до той версии, в которой уязвимость уже исправлена (8.3.3, 8.4.3, 8.5.2), или до более поздних версий для каждой из соответствующих веток.
Если это по каким-то причинам невозможно, рекомендуется до момента обновления убрать уязвимые Confluence-серверы из публичного доступа, то есть отключить к ним доступ из внешних сетей.
Если даже это почему-то не получается сделать, есть временный вариант митигации угрозы путем блокировки доступа к страницам настройки. Больше подробностей об этом можно найти в рекомендациях Atlassian. В компании, впрочем, отмечают, что этот вариант не отменяет необходимость обновления Confluence Data Center или Confluence Server, а лишь помогает временно защититься от уже известного способа эксплуатации уязвимости.
Кроме того, организациям, использующим Confluence Data Center и Confluence Server, рекомендуется проверить, не была ли эта уязвимость уже использована для атаки на них. Вот несколько характерных признаков, которые помогут обнаружить следы эксплуатации CVE-2023-22515:
- Подозрительные аккаунты в группе
confluence-administrators
. - Неопознанные аккаунты, созданные недавно.
- Запросы к
/setup/*.action
в логах сетевого доступа. - Наличие
/setup/setupadministrator.action
в сообщениях об исключительных ситуациях вatlassian-confluence-security.log
в домашней директории Confluence.
Ну и, конечно же, следует помнить о том, что получение контроля над Confluence вследствие эксплуатации CVE-2023-22515 скорее всего не станет основной целью атакующих, а будет использовано в качестве плацдарма для дальнейших атак на информационные системы компании.
Для отслеживания подозрительной активности в корпоративной инфраструктуре рекомендуется использовать решения класса EDR (Endpoint Detection and Response). Если же у внутренней ИБ-команды не хватает ресурсов, то можно воспользоваться услугами внешнего сервиса для непрерывного поиска угроз, направленных на вашу организацию, и своевременного реагирования на них.
Источник: Лаборатория Касперского
24.10.2023