По поводу подозрительной EoP в Confluence (CVE-2023-22515), которая вышла на прошлой неделе, опасения подтвердились. Злоумышленнику действительно не требуется предварительно иметь пользователя в Confluence, чтобы получить администратора. Действительно имеет место обход аутентификации.
Коллеги из PT SWARM воспроизвели эту уязвимость и записали видео с демонстрацией. На видео они показывают, что пользователя в инсталляции Confluence нет, затем они запускают python скрипт с логином/паролем желаемого пользователя и тут же получают его в Confluence с правами админа. Magic. 🪄
В новостях активно разгоняют про EoP в Atlassian Confluence (CVE-2023-22515). Злоумышленник может создавать неавторизованные аккаунты администратора Confluence и получать доступ к инстансам Confluence. Atlassian пишут, что некоторых их клиентов, у которых Confluence наружу торчит, таким образом уже поломали. Если это EoP у злоумышленника должен быть аккаунт какой-то, так ведь? А вот непонятно. Может там и обход аутентификации есть, уж больно CVSS большой. Уязвимы версии 8.*, а более старые версии неуязвимы (включая 7.19 LTS с EOL date: 28 Jul 2024). Если уязвимы, то обновляйтесь до 8.3.3, 8.4.3, 8.5.2 или применяйте workaround. Хотя лучше мигрируйте с продуктов Atlassian куда подальше.
- Critical security bug fixes - Critical bug fixes - All other security bug fixes, whenever possible
Но проблема в том, что этот релиз 2 года назад был выпущен и у него совсем скоро EOL (17 Aug 2023). Поэтому, если вы до сих пор на 7.13, задумайтесь о миграции. В идеале не на следующий LTS (7.19), а на что-нибудь не от Atlassian.
Сегодня пишут про 2 RCE уязвимости в Atlassian Confluence (Data Center & Server), хотя бюллетень вышел ещё неделю назад.
CVE-2023-22505. Уязвимы версии с 8.0.0, пофикшено с 8.3.2, 8.4.0. CVE-2023-22508. Уязвимы версии с 7.4.0, пофикшено с 8.2.0.
В NVD забавное генеренное описание на основе CVSS:
"allows an authenticated attacker to execute arbitrary code which has high impact to confidentiality, high impact to integrity, high impact to availability, and no user interaction"
"позволяет аутентифицированному злоумышленнику выполнять произвольный код, который сильно влияет на конфиденциальность, сильно влияет на целостность, сильно влияет на доступность и не требует взаимодействия с пользователем"
В том же бюллетене есть RCE уязвимость CVE-2023-22506 в Atlassian Bamboo (инструмент непрерывной интеграции и развертывания).
Это второй выпуск Vulnerability Management news and publications. В этот раз меньше цитат из новостных статей, больше моих мыслей. Выглядит вроде получше, вам как?
Основная мысль этого эпизода. Microsoft это ангажированная компания. Фактически их можно теперь воспринимать как ещё одно американское агентство. Значит ли это, что нам нужно о них забыть и прекратить отслеживать, что они делают? Нет, не значит. Они делают много интересных вещей, которые как минимум можно исследовать и копировать. Значит ли это, что нужно отказаться от использования продуктов Microsoft? В некоторых локациях (вы сами знаете каких) точно да, в некоторых можно продолжать использовать, если это оправдано, но нужно иметь план Б. И это касается не только Microsoft. Т.е. видится гибкий подход. Здесь - поступаем так, там - по-другому. Кажется, что довольно жесткая фрагментация рынка IT это долгосрочный тренд и надо к нему приспосабливаться.
В этом эпизоде:
01:03 Microsoft выпустили пропагандистский отчет, что это значит для нас? 06:48 Microsoft выпустили функцию Autopatch, стоит ли ее применять? 09:59 Нелепая уязвимость: захардкоженный пароль в Confluence Questions 11:50 Новый Nessus Expert и почему это, по-видимому, худший релиз Tenable 13:20 Новые фичи Rapid7 Nexpose/InsightVM, добавленные во втором квартале 2022 года: хорошее и странное 16:46 Palo Alto: вредоносное сканирование через 15 минут после публикации CVE. Да неужели? 19:36 6 групп уязвимостей, которые чаще всего используются в атаках, согласно Palo Alto, и конец ИТ-глобализации
На этой неделе много пишут про уязвимости Confluence. Их вышло три.
CVE-2022-26136 & CVE-2022-26137: Multiple Servlet Filter vulnerabilities (Authentication bypass, XSS, Cross-origin resource sharing bypass). Много продуктов Atlassian уязвимо. Кроме Confluence и JIRA это ещё и Bitbucket например. Тут все понятно, надо патчить. Ну и в идеале давно пора от этих продуктов отказываться, сами понимаете почему.
CVE-2022-26138: Hardcoded password in Confluence Questions. Эта уязвимость сейчас самая хайповая и забавная. Установка дополнительного аппа Questions для конфлюенса создаёт пользователя disabledsystemuser с захардкоженным паролем. А он не disabled! 🤡 Пароль уже в паблике. Под этим юзером можно читать незащищённые странички доступные confluence-users. Ну не смех ли? 🙂 Исправляется патчингом или блокировкой/удалением пользователя.
Тут что можно сказать: 1. Плагины и расширения зло, там обычно самое адище. 2. Вот как-то так могут выглядеть закладки в ПО. Очень простая эксплуатация при этом можно всегда сказать, что ой, извините, это ошибка. 3. Те, кто Confluence и подобные сервисы в интернет выставляют сами себе злобные буратины.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
