Atlassian hat heute Abend allen Kunden eine kritische E-Mail-Sicherheitslücke in Confluence gemeldet. Was genau das Problem ist, hat das Unternehmen noch nicht verraten. Eines ist klar: Computeradministratoren der Atlassian-Confluence-Software sollten dringend handeln. Die nun notwendigen Schritte haben wir zusammengefasst.
Zusätzlich zu den Sicherheitslücken in Exchange-Servern gibt es auch Lücken in anderen gängigen Softwaretools. Atlassian meldet „CVE-2022-26134 – Remote Code Execution Vulnerability Without Critical Severity Authentication“ für Confluence Server und Confluence Data Center. Eine kritische Schwachstelle, die es nicht authentifizierten Benutzern ermöglicht, Code remote auf dem Server auszuführen. Ai.
Confluence CVE-2022-26134: Wer ist betroffen?
Alle, ja, wirklich alle. Atlassian spricht über alle unterstützten Instanzen, in einer anderen E-Mail – dann genauer gesagt – Version 1.3.5 und höher. Daher sollten wirklich alle Instanzen von Confluence angreifbar sein. Dabei spielt die Variante, also ob Confluence Server oder Confluence Data Center, keine Rolle. Nur Kunden der Atlassian Cloud können aufatmen: Die dort eingesetzten Confluence-Server sind nicht angreifbar und sicher. Das Sicherheitsunternehmen Volexity hat diese Schwachstelle identifiziert, konnte sie rekonstruieren und an Atlassian melden.
- Alle Versionen von Confluence werden aktiv unterstützt (7.4 – 7.18)
- Zudem ist davon auszugehen, dass alle Versionen ab 1.3.5 betroffen sind
- Betroffen sind die beiden Varianten von Confluence, Confluence Server und Confluence Data Center
Atlassian sollen bereits Fälle bekannt sein, in denen diese Schwachstelle ausgenutzt wurde. Daher ist es nur eine Frage der Zeit, bis die Angriffe, wie bei der letzten Schwachstelle von Confluence im September 2021, in großem Umfang beginnen.
Was sollten Confluence-Administratoren jetzt tun?
Wenn die Instanz für jeden außerhalb des Internets öffentlich zugänglich ist, sollte der Zugriff darauf sofort eingeschränkt werden. Am besten ist es, die Confluence-Instanz nur über das VPN oder das interne Netzwerk des Unternehmens zugänglich zu machen. Wenn es keine Optionen gibt, empfiehlt Atlassian, den Confluence-Server oder das Confluence-Rechenzentrum zu deaktivieren.
- Zugriff auf Confluence-Server oder Confluence-Rechenzentrum von außen sofort einschränken (VPN, nur intern zugänglich machen)
- Deaktivieren Sie alternativ Confluence Server oder Data Center
Es sind noch keine Patches verfügbar, daher sind derzeit keine weiteren Schritte erforderlich. Es gibt auch keine Informationen, um zu überprüfen, ob Sie bereits angegriffen wurden. Atlassian bleibt hier im Zug und soll nach eigenen Angaben um 13 Uhr PDT (also 22 Uhr deutscher Zeit) weitere Updates zur Verfügung stellen.
Wir halten Sie natürlich auf dem Laufenden.