Wenn Sie eine Atlassian Confluence Server- oder Data Center-Installation selbst hosten, sollten Sie auf die neueste verfügbare Version aktualisieren, um einen schwerwiegenden RCE-Fehler (CVE-2024-21683) zu beheben, für den ein PoC und technische Details bereits öffentlich sind.
Über CVE-2024-21683
Confluence Server und Data Center sind Softwarelösungen, die in Unternehmen häufig zum Verwalten von Wissensdatenbanken, Dokumentationen und zur Standardisierung der Zusammenarbeit verwendet werden.
Bei CVE-2024-21683 handelt es sich um eine Sicherheitslücke, die Remotecodeausführung ermöglicht und leicht als Waffe ausgenutzt werden kann (über eine speziell gestaltete JavaScript-Sprachdatei). Für ihre Ausnutzung ist keine Benutzerinteraktion erforderlich. Sie wird jedoch nicht als kritisch angesehen, da andere Voraussetzungen erfüllt sein müssen, nämlich:
- Der Angreifer muss bei Confluence angemeldet sein
- Der Angreifer muss über ausreichende Berechtigungen verfügen, um neue Makrosprachen hinzufügen zu können
- Die JavaScript-Datei, die schädlichen Java-Code enthält, muss in das Makro „Code konfigurieren“ > „Neue Sprache hinzufügen“ hochgeladen werden.
„Diese Sicherheitslücke entsteht durch einen Fehler im Eingabevalidierungsmechanismus in der Funktion ‚Neue Sprache hinzufügen‘ im Abschnitt ‚Codemakro konfigurieren‘“, erklären die Forscher von Sonicwall .
„Mit dieser Funktion können Benutzer eine neue Codeblock-Makrosprachendefinition hochladen, um die Formatierung und Syntaxhervorhebung anzupassen. Dabei wird erwartet, dass die Javascript-Datei gemäß der benutzerdefinierten Pinselsyntax formatiert ist. Eine unzureichende Validierung ermöglicht es dem authentifizierten Angreifer, bösartigen Java-Code einzuschleusen, der in eine Datei eingebettet ist (…), die auf dem Server ausgeführt wird.“
Ein PoC für CVE-2024-21683 ist auf GitHub zu finden und basiert auf einervom Sicherheitsforscher Huong Kieu hackerone.
Aktualisieren Sie Confluence so schnell wie möglich
„Angesichts der zentralen Rolle von Confluence Server bei der Pflege der Wissensdatenbank eines Unternehmens wird den Benutzern dringend empfohlen, ihre Instanzen auf die neuesten Versionen zu aktualisieren, wie in der Empfehlung des Anbieters erwähnt “, rieten die Forscher von Sonicwall.
Angreifer nutzen regelmäßig Schwachstellen im Data Center und Confluence Server aus .