Actief misbruik van ernstige kwetsbaarheid in Atlassian Confluence

UPDATE - DTC notificeert ruim 300 keer over kwetsbare Atlassian Confluence systemen

Het Digital Trust Center (DTC) heeft naar aanleiding van verkregen scaninformatie van het DIVD de eigenaren of netwerkbeheerders van ruim 300 kwetsbare Atlassian Confluence systemen gewaarschuwd. De gewaarschuwde bedrijven of beheerders zijn geadviseerd om de beschikbare beveiligingsupdates te installeren om misbruik van een beveiligingslek in deze samenwerksoftware te voorkomen.

Proof-of-Concepts vergroten risico

Het Nationaal Cyber Security Centrum (NCSC) meldt dat er inmiddels een groot aantal Proof-of-Concepts (PoC’s) openbaar zijn gepubliceerd. POC’s beschrijven hoe je misbruik kunt maken van deze kwetsbaarheid. De kans op misbruik door kwaadwillenden neemt hierdoor toe.

Niet alle Atlassian Confluence eigenaren zijn bereikt

Niet alle kwetsbare Atlassian Confluence systemen zijn door het DTC te herleiden naar een eigenaar of netwerkbeheerder. Daarom vragen we opnieuw aandacht voor deze kwetsbaarheid en adviseren om beschikbare Atlassian beveiligingsupdates zo snel mogelijk te (laten) installeren.

 


UPDATE - Beveiligingsupdates beschikbaar

7 jun 2020

Softwarebedrijf Atlassian heeft beveiligingsupdates beschikbaar gesteld voor de kwetsbaarheid in Confluence. Het advies is om deze beveiligingsupdates zo snel mogelijk te (laten) installeren.

 


Oorspronkelijk bericht 3 jun 2022

Er is een ernstige kwetsbaarheid ontdekt in de samenwerksoftware van Atlassian Confluence. Deze wordt actief misbruikt. De kwetsbaarheid is bekend als CVE-2022-26134 en maakt het mogelijk om op afstand zonder inloggegevens willekeurige code uit te voeren. Ook het NCSC heeft de kwetsbaarheid ingeschaald als High/High. Dit wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de schade bij misbruik groot kan zijn.

Wat is het risico?

Een aanvaller kan op afstand willekeurige code uitvoeren op een kwetsbare Atlassian Confluence server zonder daar inloggegevens voor nodig te hebben. Atlassian Confluence servers zijn meestal benaderbaar vanaf het internet wat de kans op misbruik groot maakt. Misbruik van de kwetsbaarheid kan leiden tot het lekken van gevoelige informatie en afhankelijk van de configuratie het mogelijk maken de server volledig over te nemen.

Welke versies zijn kwetsbaar?

Atlassian geeft aan dat in ieder geval alle ondersteunde versies van Atlassian Confluence Server en Atlassian Confluence Datacenter kwetsbaar zijn. Wanneer je gebruik maakt van een Atlassian Confluence site via de Atlassian Cloud, dan zijn er geen aanwijzingen dat deze kwetsbaar is.

Wat kun je doen?

Op dit moment is er nog geen beveiligingsupdate beschikbaar om de kwetsbaarheid te verhelpen.

Atlassian raadt aan om de Confluence Server uit te schakelen of van het publieke internet te koppelen.

In de advisory van Atlassian vind je ook een alternatieve maatregel die het risico op misbruik kan verkleinen, maar niet volledig wegneemt.

Het advies is om de advisory in de gaten te houden voor ontwikkelingen en de beveiligingsupdates zo snel mogelijk te installeren wanneer deze beschikbaar zijn.

 

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.