Kritische Sicherheitslücken betreffen nahezu alle Atlassian-Anwendungen – Updates dringend erforderlich
von Tina Siering
Die Meldungen über kritische Sicherheitslücken bei Atlassian-Produkten reißen nicht ab. Derzeit warnt das australische Softwareunternehmen gleich vor drei gravierenden Schwachstellen in zahlreichen seiner Anwendungen und Dienste.
Angreifer können die aktuellen Schwachstellen CVE-2022-26136 und CVE-2022-26137 ausnutzen, um die bei Drittanbietern-Anwendungen verwendete Authentifizierung zu umgehen, beliebigen JavaScript-Code auszuführen und den Browser-Mechanismus CORS (Cross-Origin Resource Sharing) durch eine speziell gestaltete HTTP-Anfrage zu umgehen.
Der Hersteller hat bereits Updates veröffentlicht und rät dringend dazu, die aktuellste Software-Version einzuspielen, um die Sicherheitslücken zu schließen. Von den beiden oben genannten Schwachstellen sind praktisch alle Atlassian-Lösungen betroffen:
- Bamboo
- Bitbucket
- Confluence
- Crowd
- Crucible
- Fisheye
- Jira
Eine weitere Schwachstelle mit der Bezeichnung CVE-2022-26138 betrifft die Atlassian App “Questions For Confluence”: Wenn die Anwendung auf dem Confluence Server oder Data Center aktiviert wird, erstellt diese automatisch ein Confluence-Benutzerkonto mit dem Benutzernamen “disabledsystemuser”.
Dieses Konto ist eigentlich dafür gedacht, Administratoren die Migration von Daten zwischen der App und der Confluence Cloud zu erleichtern. Das Problem: Das Konto “disabledsystemuser” hat ein hartkodiertes Kennwort, das bereits bei Twitter veröffentlicht wurde. Angreifer mit Kenntnis des Passworts können sich in Confluence anmelden und auf alle Seiten zugreifen, auf die die Nutzergruppe confluence-users Zugriff hat.
Von dieser Schwachstelle betroffen sind die Confluence-Versionen 2.7.34, 2.7.35 und 3.0.2. Patches sind in den Versionen 2.7.38 und 3.0.5 verfügbar. Auch hier sollte das Software-Update des Herstellers unverzüglich installiert werden.
Option:
Sollte dies zeitnah nicht möglich sein, empfiehlt es sich den Account “disabledsystemuser” zwischenzeitlich zu löschen oder zu deaktivieren, bis das Software-Update durchgeführt wird.
Um zu prüfen, ob der User “disabledsystemuser” in der Vergangenheit bereits genutzt wurde folgen Sie bitte folgender Verlinkung: https://confluence.atlassian.com/confkb/how-to-get-a-list-of-users-with-their-last-logon-times-985499701.html
Der User wurde sicher noch nie in der Vergangenheit verwendet, wenn nach "Last authentication time" Null steht.
Allgeier secion-Kunden mit einem aktiven Managed Service-Vertrag für ACD werden selbstverständlich unmittelbar über maliziöse Kommunikation auf ihren Systemen informiert, aktuell prüfen wir bspw. aktiv auf die IoCs in allen betroffenen Atlassian-Produkten.
Fazit
Die Zahl der Schwachstellen steigt kontinuierlich und fand mit 18.378 gemeldeten Lücken im Jahr 2021 seinen bisherigen Rekord. Bei der Bedrohungen durch Schwachstellen ist Zeit der entscheidende Faktor. Wird eine Schwachstelle von Kriminellen ausgenutzt und ein Angriff zu spät entdeckt, kann er bereits großflächigen Schaden angerichtet haben. Mit dem Active Cyber Defense Service (ACD) von Allgeier secion brauchen Sie kein SOC, kein SIEM und keine Forensik mehr: Beim Einsatz der “Managed Detection and Response-Lösung (MDR)” wird ihr Netzwerk durchgehend gescannt. Die IT Security Experten des ACD-Teams warnen Sie unmittelbar, sobald Auffälligkeiten im Netzwerk registriert werden und Handlungsbedarf erforderlich ist – und nicht erst nach der riskanten durchschnittlichen Dauer von 6 Monaten. So lässt sich die kritische Zeitspanne zwischen dem Versagen von Protection Tools und dem Einsatz der Response minimieren. ACD entlastet Ihr IT-Security Team und ist als Managed Service zum monatlichen Festpreis buchbar.