کمپانی Atlassian در بولتن امنیتیشون خبر از اصلاح آسیب پذیری زیرودی در محصولات Confluence Data Center و Confluence Server داده.
آسیب پذیری CVE-2023-22515 :
آسیب پذیری در Confluence Data Center و Confluence Server هستش و دارای شدت بحرانیه. مهاجم امکان افزایش امتیاز ،با ایجاد اکانت administrator داره. آسیب پذیری در حملاتی مورد اکسپلویت قرار گرفته.
نسخه های تحت تاثیر :
| Product | Affected Versions |
|---|---|
| Confluence Data Center and Confluence Server |
8.0.0 8.0.1 8.0.2 8.0.3 8.0.4 8.1.0 8.1.1 8.1.3 8.1.4 8.2.0 8.2.1 8.2.2 8.2.3 8.3.0 8.3.1 8.3.2 8.4.0 8.4.1 8.4.2 8.5.0 8.5.1 |
نسخه های اصلاح شده :
| Product | Fixed Versions |
|---|---|
| Confluence Data Center and Confluence Server |
8.3.3 or later 8.4.3 or later 8.5.2 (Long Term Support release) or later |
اقدامات کاهشی :
اگه نمیتونید بروزرسانی رو اعمال کنید، چند تا اقدام کاهشی موقت اعلام کردن از جمله :
- دسترسی شبکه به نمونه های آسیب پذیر رو محدود کنید.
- میتونید با مسدود کردن بردارهای حمله برای این آسیب پذیری به نقطه پایانی */setup ، تاثیر رو کاهش بدید. ( احتمالا آسیب پذیری در این نقطه پایانی هستش) . برای این کار میتونید کد زیر رو روی هر node در مسیر
/<confluence-install-dir>/confluence/WEB-INF/web.xmlاضافه کنید (دقیقا قبل از تگ </web-app> در انتهای فایل) و بعدش Confluence رو ریستارت کنید :
|
1 2 3 4 5 6 7 |
<security-constraint> <web-resource-collection> <url-pattern>/setup/*</url-pattern> <http-method-omission>*</http-method-omission> </web-resource-collection> <auth-constraint /> </security-constraint> |
همچنین توصیه شده راهکاهای زیر رو برای شکار تهدید در نسخه های آسیب دیده انجام بدید تا اگه هک شده باشن، متوجه بشید :
- بررسی اعضای جدید و غیرمنتظره در گروه
confluence-administrators - اکانت کاربران جدید و غیرمنتظره ایجاد شده
- درخواستهای
/setup/*.actionدر لاگهای network access - وجود
/setup/setupadministrator.actionدرatlassian-confluence-security.logکه در دایرکتوری Confluence قرار داره.
سایتهای Atlassian Cloud تحت تاثیر نیستن و اگه سایت Confluence شما از طریق atlassian.net قابل دسترس و از طریق Atlassian میزبانی میشه، تحت تاثیر آسیب پذیری نیست.