Jetzt patchen: Sicherheitslücke in Atlassian Confluence
von Nico Pätzel
Atlassian schließt kritische Sicherheitslücke: Patch für Confluence Data Center und Confluence Server verfügbar!
Confluence ist eine webbasierte Softwarelösung für webbasierte Zusammenarbeit und optimiertes Wissensmanagement, die von der australischen Firma Atlassian entwickelt wurde. Die Software ermöglicht es Anwendern, Details rund um ihre Projekte in Dokumentationen, Aufgabenlisten und Projektplänen gemeinsam zu bearbeiten. Eine kürzlich entdeckte, kritische Sicherheitslücke ermöglicht Angreifern, sich Adminrechte anzueignen – und dadurch komplette Systeme zu kompromittieren. Ein veröffentlichter Patch schließt diese Sicherheitslücke in bestimmten Versionen des Confluence Data Centers. Admins sollten umgehend reagieren.
Eine Warnmeldung von Atlassian Anfang Oktober mit einer CVSS 3.0 Höchstwertung (10 von 10) hat Anfang Oktober 2023 für Beunruhigung unter den Anwendern des kollaborativen Web-Tools Confluence gesorgt. Die Sicherheitslücke CVE-2023-22515 betrifft bestimmte Versionen des Confluence Data Centers sowie Confluence Server. Das australische Unternehmen Atlassian, Anbieter von Confluence, wurde durch Kundenmeldungen auf eine Schwachstelle aufmerksam gemacht, durch die Cyberkriminelle unbefugte Administrator-Konten erstellen und auf Confluence-Instanzen zugreifen konnten. Betroffen von der Schwachstelle sind gemäß BSI Confluence Data Center und Server mit den Versionsnummern:
• 8.0.0, • 8.0.1, • 8.0.2, • 8.0.3, • 8.0.4, • 8.1.0, • 8.1.1, • 8.1.3, • 8.1.4, • 8.2.0, • 8.2.1, • 8.2.2, • 8.2.3, • 8.3.0, • 8.3.1, • 8.3.2, • 8.4.0, • 8.4.1, • 8.4.2, • 8.5.0, • 8.5.1.
Die Schwachstelle ist in den Versionen 8.3.3, 8.4.3 und 8.5.2 (oder höher) bereits geschlossen. Von der Sicherheitslücke nicht betroffen sind nicht bei Atlassian Cloud gehostete Instanzen, die an atlassian.net in der Domain erkennbar sind sowie Versionen unter dem Patchstand von 8.0.0.
Zero-Day-Exploit wird bereits ausgenutzt.
Atlassian selbst spricht von „einer Handvoll Kunden“, bei denen möglicherweise Angriffe auf öffentlich erreichbare Confluence-Instanzen stattgefunden haben. Bereits in der Vergangenheit standen Confluence-Server im Visier von Cyberangreifern – bekannt wurden unter anderem Angriffe mit Cerber2021 Ransomware, Linux-Botnet-Malware und Krypto-Minern. Administratoren der von der Sicherheitslücke betroffenen Confluence-Versionen sollten umgehend reagieren und die von Atlassian bereitgestellten Sicherheitsupdates installieren: Aufgrund der kritischen Einstufung der Lücke ist nach einem erfolgreichen Angriff mit einer vollständigen Kompromittierung zu rechnen.
Handlungsempfehlung
Sofortiges Patchen nicht möglich? Diese Maßnahmen empfiehlt Atlassian als Workaround: Wenn Admins feststellen, dass ihre Confluence-Instanzen kompromittiert wurden, empfiehlt Atlassian als erste Notfallmaßnahme das sofortige Trennen des Servers vom Internet/Netzwerk. Auch alle anderen Systeme, die sich eine gemeinsame Anwenderbasis mit Confluence oder Benutzername/Passwort-Kombinationen teilen, sollten ebenfalls umgehend vom Netzwerk isoliert werden. Ebenfalls wird ein Herunterfahren der Server empfohlen, allerdings sollte hier unbedingt vorab eine forensische Sicherung der Daten durchgeführt werden. Die Daten wären ansonsten nach dem Herunterfahren der Server verloren, was im schlimmsten Falle eine Aufklärung des Vorfalls verhindern würde!
Erkennbar ist ein möglicher Sicherheitsverstoß unter anderem durch:
- Unerwartete, neue Mitglieder in der Confluence-Admin-Benutzergruppe
- Neu erstellte Benutzerkonten
- Anfragen an /setup/*.action oder /server-info.action in den Netzwerkzugriffsprotokollen
- Eine Ausnahmemeldung im atlassian-confluence-security.log (Vorhandensein von /setup/setupadministrator.action)
Achtung: Das Installieren der verfügbaren Sicherheitsupdates schließt die entdeckte Sicherheitslücke, allerdings bleiben die vorher möglicherweise angelegten Konten der Cyberangreifer bestehen!
Sofern Admins den externen Netzwerkzugriff auf Confluence nicht einschränken können oder das umgehende Einspielen des Sicherheitspatches nicht möglich ist, empfiehlt Atlassian einen temporären Workaround, um Angriffe zu minimieren. Admins sollten laut Atlassian den Zugriff auf die /setup/* Endpunkte in Confluence-Instanzen blockieren. Den benötigten Code sowie detaillierte Anleitungen zum genauen Vorgehen hat Atlassian hier veröffentlicht.
Der Workaround blockiert den Zugriff auf Setup-Optionen, die für die normale Nutzung von Confluence nicht erforderlich sind. Atlassian weist ausdrücklich darauf hin, dass der Workaround nur eine begrenzte, temporäre Wirkung hat und keinesfalls als Ersatz für das Aufspielen des Patches dienen soll. Alle betroffenen Versionen von Confluence müssen so schnell wie möglich mit dem Update versorgt werden.
Atlassian vermutet eine aktive Ausnutzung des Exploits durch staatliche Akteure. Wie auf der Website von Atlassian zu lesen ist, verfügt das Unternehmen mittlerweile über Beweise, die belegen, dass die Sicherheitslücke CVE-2023-22515 derzeit aktiv durch einen „bekannten, staatlichen Akteur“ aktiv ausgenutzt wird. Zwar dauern die Untersuchungen rund um die Sicherheitslücke nach wie vor an, allerdings steigt das Bedrohungspotenzial permanent – Stichwort Advanced Persistent Threats!
Die aufgedeckte Sicherheitslücke zeigt erneut die Wichtigkeit eines zuverlässigen, effizienten Patch-Managements für alle unternehmensintern eingesetzten Software-Lösungen. Denn selbst mit kontinuierlich auf dem neuesten Stand gehaltenen Betriebssystemen treten immer wieder – wie nun bei Atlassian – Sicherheitslücken auf, die Cyberkriminellen den Zugriff auf Systeme und Netzwerke ermöglichen. Gerne beraten wir Sie ausführlich zu unseren Möglichkeiten im Bereich des Patchmanagements oder entwickeln mit Ihnen gemeinsam eine maßgeschneiderte IT-Security-Lösung für Ihr Unternehmen.