Веский повод обновить Confluence

Недавно CISA, FBI и MS-ISAC выпустили совместное предупреждение о том, что всем организациям, использующим Confluence Data Center и Confluence Server, следует срочно обновить это программное обеспечение из-за серьезной уязвимости. Рассказываем, в чем проблема и почему к этой рекомендации стоит прислушаться.

Уязвимость CVE-2023-22515 в Confluence Data Center и Confluence Server

Данная уязвимость получила обозначение CVE-2023-22515. Ей присвоен максимальный рейтинг опасности по шкале CVSS 3.0 — 10 из 10, а также статус критической. Уязвимость состоит в возможности перезапуска процесса настройки сервера, причем для этого даже не требуется аутентификация. Благодаря эксплуатации CVE-2023-22515 атакующий может получить возможность создания аккаунтов с правами администратора на уязвимом Confluence-сервере.

CVE-2023-22515: высокий уровень опасности и низкая сложность эксплуатации. Источник

Под угрозой находятся только организации, использующие продукты Atlassian Confluence, предназначенные для установки на собственные серверы (то есть on-premises), — Confluence Data Center и Confluence Server. Тех клиентов, которые пользуются облачным сервисом Confluence, данная угроза не касается.

Уязвимость не затрагивает Confluence Data Center и Confluence Server версий ниже 8.0.0. Вот полный список уязвимых версий по информации, опубликованной Atlassian:

• 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4;
• 8.1.0, 8.1.1, 8.1.3, 8.1.4;
• 8.2.0, 8.2.1, 8.2.2, 8.2.3;
• 8.3.0, 8.3.1, 8.3.2;
• 8.4.0, 8.4.1, 8.4.2;
• 8.5.0, 8.5.1.

Эксплуатация «в дикой природе» и PoC на GitHub

Основная проблема состоит в том, что эту уязвимость крайне легко эксплуатировать. Дополнительно ухудшает ситуацию тот факт, что для успешной атаки на уязвимый сервер не требуется доступ к учетной записи на нем — соответственно, это значительно расширяет простор для деятельности атакующих.

Ключевой момент атаки заключается в том, что уязвимые версии Confluence Data Center и Confluence Server позволяют без аутентификации на сервере поменять значение атрибута bootstrapStatusProvider.applicationConfig.setupComplete на false . Тем самым атакующие реинициализируют этап начальной настройки сервера и получают возможность бесконтрольно создавать на нем собственные учетные записи администраторов.

Ключевой момент эксплуатации уязвимости в Confluence Data Center и Confluence Server. Источник

Заметим, что угроза эта отнюдь не теоретическая — с ее помощью уже совершаются реальные атаки. Спустя неделю после обнародования информации о CVE-2023-22515 команда Microsoft Threat Intelligence обнаружила эксплуатацию данной уязвимости одной из APT-группировок.

Предупреждение Microsoft Threat Intelligence об эксплуатации CVE-2023-22515 в дикой природе. Источник

Впрочем, как уже было сказано выше, уязвимостью в Confluence Data Center и Confluence Server крайне легко воспользоваться. Так что этим могут заняться не только высококвалифицированные хакеры из APT-группировок, но даже скучающие школьники. На GitHub уже появился Proof of Concept эксплойта для CVE-2023-22515, а также python-скрипт, который максимально упрощает ее эксплуатацию. В том числе массовую — достаточно подставить в него список адресов атакуемых серверов.

Как обезопасить свою инфраструктуру от CVE-2023-22515

Разумеется, в идеале стоит обновить ваш Confluence Data Center или Confluence Server до той версии, в которой уязвимость уже исправлена (8.3.3, 8.4.3, 8.5.2), или до более поздних версий для каждой из соответствующих веток.

Если это по каким-то причинам невозможно, рекомендуется до момента обновления убрать уязвимые Confluence-серверы из публичного доступа, то есть отключить к ним доступ из внешних сетей.

Если даже это почему-то не получается сделать, есть временный вариант митигации угрозы путем блокировки доступа к страницам настройки. Больше подробностей об этом можно найти в рекомендациях Atlassian. В компании, впрочем, отмечают, что этот вариант не отменяет необходимость обновления Confluence Data Center или Confluence Server, а лишь помогает временно защититься от уже известного способа эксплуатации уязвимости.

Кроме того, организациям, использующим Confluence Data Center и Confluence Server, рекомендуется проверить, не была ли эта уязвимость уже использована для атаки на них. Вот несколько характерных признаков, которые помогут обнаружить следы эксплуатации CVE-2023-22515:

• Подозрительные аккаунты в группе confluence-administrators.
• Неопознанные аккаунты, созданные недавно.
• Запросы к /setup/*.action в логах сетевого доступа.
• Наличие /setup/setupadministrator.action в сообщениях об исключительных ситуациях в atlassian-confluence-security.log в домашней директории Confluence.

Ну и, конечно же, следует помнить о том, что получение контроля над Confluence вследствие эксплуатации CVE-2023-22515 скорее всего не станет основной целью атакующих, а будет использовано в качестве плацдарма для дальнейших атак на информационные системы компании.

Для отслеживания подозрительной активности в корпоративной инфраструктуре рекомендуется использовать решения класса EDR (Endpoint Detection and Response). Если же у внутренней ИБ-команды не хватает ресурсов, то можно воспользоваться услугами внешнего сервиса для непрерывного поиска угроз, направленных на вашу организацию, и своевременного реагирования на них.