บริษัท Atlassian ของออสเตรเลียปล่อยอัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่แบบ Zero-day
ที่มีความรุนแรงสูงสุดในซอฟต์แวร์ Confluence Data Center and Server
ช่องโหว่ CVE-2023-22515 ส่งผลต่อ Confluence Data Center and Server 8.0.0 หรือใหม่กว่า
และสามารถโจมตีจากระยะไกลได้ โดยมีความซับซ้อนต่ำจึงไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้
ผู้ที่ใช้ Confluence Data Center and Server เวอร์ชันที่มีช่องโหว่
ควรอัปเกรดอินสแตนซ์เป็นเวอร์ชันที่ได้รับการแพทช์แล้ว
(เช่น 8.3.3 หรือใหม่กว่า 8.4.3 หรือใหม่กว่า 8.5.2 หรือใหม่กว่า)
นอกจากการอัปเกรดและการใช้มาตรการบรรเทาผลกระทบแล้ว
Atlassian ยังกระตุ้นให้ผู้ใช้ปิดอินสแตนซ์ที่ได้รับผลกระทบหรือแยกอินสแตนซ์เหล่านั้น
ออกจากการเข้าถึงอินเทอร์เน็ต หากผู้ใช้ไม่สามารถทำการแพตช์ทันทีได้
ผู้ดูแลระบบสามารถลบเวกเตอร์การโจมตีที่เกี่ยวข้องกับช่องโหว่นี้
ได้โดยป้องกันการเข้าถึงตำแหน่งข้อมูล /setup/* บนอินสแตนซ์ Confluence
สัญญาณที่บ่งบอกถึงการถูกละเมิด
- มีสมาชิกที่ไม่ทราบตัวตนในกลุ่ม confluence-administrator
- บัญชีผู้ใช้ที่ถูกสร้างขึ้นใหม่โดยไม่ได้แจ้งให้ทราบ
- ร้องขอการเข้าถึง /setup/*.action ใน Network log
- มี /setup/setupadministrator.action ปรากฏบน exception message ในไดเร็กทอรี atlassian-confluence-security.log หลัก ของ Confluence
Ref : https://www.bleepingcomputer.com/news/security/atlassian-patches-critical-confluence-zero-day-exploited-in-attacks/