Die Schwachstelle [1] wurde von Volexity-Forschern entdeckt, die sie im Rahmen einer Incident-Response-Untersuchung am Memorial-Day-Wochenende in den USA entdeckten, erläutert hierzu Satnam Narang, Senior Staff Research Engineer bei Tenable [2]. Zur Ausnutzung der Schwachstelle wurden Web-Shells verwendet, darunter auch die Web-Shell China Chopper.

Das Vorhandensein einer Web-Shell gibt einem Angreifer die Möglichkeit, den Zugriff auf ein kompromittiertes System aufrechtzuerhalten, selbst nachdem eine Sicherheitslücke wie diese gepatcht wurde. Das Gleiche haben wir nach der Ausnutzung der ProxyShell-Schwachstelle im letzten Jahr beobachtet, bei der Angreifer Web-Shells in anfällige Microsoft Exchange Server-Instanzen einschleusten.

Eine Reihe von Confluence Server-Versionen sind potenziell anfällig für diese neue Schwachstelle. Wenn ein Unternehmen also eine der betroffenen Confluence Server- und Datencenter-Versionen verwendet und diese über das Internet öffentlich zugänglich ist, besteht ein erhebliches Risiko. Derzeit wird Unternehmen empfohlen, den Zugriff auf ihre Confluence Server- und Datencenter-Instanzen einzuschränken, indem sie diese in ein virtuelles privates Netzwerk (VPN) einbinden oder, falls möglich, diese Instanzen ganz deaktivieren, bis ein Patch verfügbar ist.

Aus der Vergangenheit ist jedoch bekannt, dass Angreifer gerne die Gelegenheit nutzen, um Atlassian-Produkte wie Confluence anzugreifen. Es ist Unternehmen daher dringend geraten, diese Abhilfemaßnahmen zu prüfen, bis Patches verfügbar sind.

dr

[1] https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
[2] www.tenable.com