Kritieke kwetsbaarheid in Confluence

UPDATE - Scanning op kwetsbare Confluence systemen

Het Nationaal Cyber Security Centrum (NCSC) heeft meldingen ontvangen dat kwaadwillenden actief scannen op kwetsbare Confluence systemen op het internet met als doel deze aan te vallen. Het advies blijft om de door Atlassian beschikbare software-updates zo snel mogelijk te (laten) installeren.
 


Update - Verhoging risicoclassificatie

8 november 2023

Atlassian heeft de CVSS-classificatie van de kwetsbaarheid opgehoogd naar 10, de hoogst mogelijke score. Ook het NCSC heeft de duiding van de kwetsbaarheid opgeschaald naar High/High. Dit wil zeggen dat er een grote kans is dat deze kwetsbaarheid wordt misbruikt en dat de schade groot kan zijn.

 


Update - Actief misbruik

6 november 2023

Inmiddels is bekend dat er actief misbruik heeft plaatsgevonden. Ook wordt verwacht dat er een verhoogde toename zal zijn in scan- en misbruikverkeer. Het advies is om zo snel mogelijk de beveiligingsupdates te (laten) installeren. Vraag indien nodig je IT-dienstverlener om je hierbij te helpen. Daarnaast adviseert Atlassian om - zolang de beveiligingsupdates niet geïnstalleerd zijn - de toegang vanaf het publieke internet te blokkeren. 

 


Oorspronkelijke bericht

31 oktober 2023

Er is een kritieke kwetsbaarheid in Atlassian Confluence Datacenter en Server ontdekt. De kwetsbaarheid (CVE-2023-22518) wordt door softwareproducent Atlassian geduid als kritiek met een CVSS-score van 9,1. Er zijn beveiligingsupdates beschikbaar. Atlassian geeft aan dat het nog geen actief misbruik heeft waargenomen maar roept klanten op direct actie te ondernemen. 

Wat is het risico?

De kwetsbaarheid wordt door Atlassian geclassificeerd als een “Improper Authorization” kwetsbaarheid en het softwarebedrijf geeft aan dat het risico bestaat op dataverlies bij misbruik. Het Nationaal Cyber Security Centrum (NCSC) geeft binnen hun duiding aan dat misbruik een "Denial of Service" (DoS) kan veroorzaken waardoor een Confluence-omgeving niet meer beschikbaar is. Daarnaast kan willekeurige code worden uitgevoerd op het systeem waar Confluence op geïnstalleerd is.

Wanneer een Confluence-omgeving beschikbaar is vanaf het publieke internet, dan vergroot dit de kans op misbruik van kwetsbaarheden. Atlassian geeft ook voor deze kwetsbaarheid aan dat publiek benaderbare Confluence-omgevingen een hoog risico lopen.

  • Alle lokaal geïnstalleerde (“On Premise”) versies van Confluence Data Center en Server zijn kwetsbaar.
  • Atlassian Cloud Sites zijn niet kwetsbaar. Als jouw Confluence-pagina bereikbaar is via een atlassian.net-domein, dan wordt de applicatie gehost door Atlassian en is deze kwetsbaarheid niet van toepassing.

Wat kan ik doen?

  • Atlassian heeft software-updates uitgebracht voor Confluence Data Center en Server om de kwetsbaarheid te verhelpen. Het advies is om deze zo snel mogelijk te (laten) installeren. Update je software naar een versie waarin de kwetsbaarheid is verholpen:
    • 7.19.16 en later
    • 8.3.4 en later
    • 8.4.4 en later
    • 8.5.3 en later
    • 8.6.1 en later
  • Daarnaast adviseert Atlassian om - zolang de updates nog niet zijn geïnstalleerd - toegang vanaf het publieke internet te blokkeren.

Het Digital Trust Center adviseert de door Atlassian aanbevolen maatregelen zo snel mogelijk uit te voeren. Vraag indien nodig je IT-dienstverlener om je hierbij te helpen.

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de CyberVeilig Check voor mkb en zzp.