Atlassian, der führende Anbieter von Software für Teamkollaboration und Projektmanagement, hat in der letzten Woche eine ziemlich fiese Sicherheitslücke in Confluence Server und Data Center entdeckt. Aber keine Sorge, sie haben schnell reagiert und aktualisierte Software-Pakete bereitgestellt, um das Problem zu beheben.
Kurz darauf wurden weitere Informationen über die Sicherheitslücke bekannt und Atlassian warnte davor, dass böswillige Angreifer versuchen könnten, diese auszunutzen. Die Sicherheitsbenachrichtigung wurde mehrmals aktualisiert, um die Nutzer auf dem Laufenden zu halten.
Doch das war noch nicht alles! Am Donnerstag gab Atlassian bekannt, dass während der fortlaufenden Überwachung der Schwachstelle kritische Informationen darüber veröffentlicht wurden. Das erhöht natürlich das Risiko, dass die Lücke ausgenutzt wird.
Und als wäre das nicht genug, wurde am Freitag gemeldet, dass bereits ein Kunde einen Angriff auf die Schwachstelle erlitten hat. Das bestätigt die Gefährlichkeit der Lücke und zeigt, dass sie bereits aktiv ausgenutzt wird.
Als ob das noch nicht genug wäre, hat Atlassian am Montag den Schweregrad der Schwachstelle von CVSS 9.1 auf CVSS 10.0 erhöht. CVSS steht für Common Vulnerability Scoring System und ist eine standardisierte Methode zur Bewertung der Schwere von Sicherheitslücken. Die Anhebung auf CVSS 10.0 bedeutet, dass die Schwachstelle als äußerst kritisch eingestuft wird. Das ist sozusagen die höchste Stufe der Gefährlichkeit.
Die Entwickler von Atlassian haben außerdem festgestellt, dass es mehrere aktive Angriffe gibt und dass schädliche Akteure Ransomware einsetzen. Das deutet darauf hin, dass die Angreifer versuchen, die Kontrolle über die betroffenen Systeme zu erlangen und Lösegeld zu erpressen. Das ist wirklich keine gute Nachricht.
Durch die Sicherheitslücke ist es den Angreifern möglich, Confluence ohne vorherige Anmeldung zurückzusetzen und einen Administratorzugang zu erstellen. Das ist natürlich ziemlich blöd, denn dadurch können die Angreifer die betroffene Confluence-Instanz komplett übernehmen. Das will niemand haben.
IT-Verantwortliche sollten daher sofort Maßnahmen ergreifen, denn öffentlich zugängliche Confluence Data-Center- und Server-Instanzen sind einer schwerwiegenden Bedrohung ausgesetzt. Atlassian stellt neben den aktualisierten Software-Paketen auch eine Anleitung für vorübergehende Gegenmaßnahmen zur Verfügung, die Administratoren verwenden können, wenn ein Softwareupdate derzeit nicht möglich ist. Das ist nett von ihnen.
In einer FAQ zur Schwachstelle sind alle wichtigen Informationen zusammengefasst. Dort findet man auch Hinweise auf Indizien für einen erfolgreichen Angriff, sogenannte Indicators of Compromise (IOCs). Das ist hilfreich, um mögliche Angriffe zu erkennen.
Die IT-Sicherheitsforscher von Rapid7 berichten ebenfalls über Angriffe auf diese Sicherheitslücke. Sie geben unter anderem die IP-Adressen der angreifenden Systeme an sowie die Prozesse und Skripte, die auf den infizierten Maschinen gestartet wurden. Das ist natürlich interessant für diejenigen, die sich eingehender mit dem Thema beschäftigen möchten.
Es ist daher äußerst wichtig, dass Unternehmen, die Confluence Server oder Data Center verwenden, umgehend die Sicherheitsupdates einspielen und die empfohlenen Gegenmaßnahmen ergreifen. Die Schwachstelle stellt eine erhebliche Gefahr dar und sollte nicht unterschätzt werden. Also, ab zur Aktualisierung!
Schlagwörter: Sicherheitslücke + Confluence Server und Data Center + Aktive Angriffe
Wie bewerten Sie den Schreibstil des Artikels?