Atlassian-Produkte: Drei kritische Sicherheitslücken entdeckt
Wer für die Wartung der lokalen Atlassian-Installationen in seinem Unternehmen verantwortlich ist, fühlt sich in den letzten Wochen vielleicht wie Bill Murray im Film „Und täglich grüßt das Murmeltier“. Denn wieder einmal ist es Zeit für ein Update. Gleich drei der beliebtesten Anwendungen des australischen Softwareunternehmens sind von kritischen Sicherheitslücken betroffen: Bitbucket, Jira und Confluence. Administratoren sollten diese Lücken umgehend schließen.
Die erste Sicherheitslücke mit der Bezeichnung CVE-2022-1471 (CVSSv3: 9.8/10, kritisch) betrifft alle drei Produkte in verschiedenen Editionen und Versionen. Durch diese Schwachstelle besteht die Möglichkeit, fremden Code über unsichere Deserialisierungsprozesse einzuschleusen. Die Lücke verbirgt sich in der SnakeYAML-Bibliothek und kann von Angreifern aus der Ferne ohne vorherige Anmeldung ausgenutzt werden.
Die zweite Sicherheitslücke mit der Bezeichnung CVE-2022-22523 (CVSSv3: 9.8/10, kritisch) betrifft speziell Jira Service Management in Verbindung mit der installierten Assets Discovery-Anwendung. Auch hier haben Angreifer die Möglichkeit, ohne weitere Voraussetzungen eigenen Code einzufügen.
Die dritte Sicherheitslücke mit der Bezeichnung CVE-2022-22524 (CVSSv3: 9.6/10, kritisch) betrifft ausschließlich Nutzer von macOS. Wenn die Companion-App für Confluence verwendet wird, können Angreifer ohne vorherige Authentifizierung über WebSockets Code einschleusen und auf dem Mac ausführen, indem sie die App-eigene Blockliste und den macOS-Gatekeeper umgehen.
Die vierte Sicherheitslücke mit der Bezeichnung CVE-2022-22522 (CVSSv3: 9.0/10, kritisch) ermöglicht es einem Angreifer mit geringen Berechtigungen, Code in eine Confluence-Seite einzufügen. Allerdings ist hierfür eine Anmeldung erforderlich, auch wenn die niedrigste Rechtestufe für den Angriff ausreicht.
Atlassian hat eine Liste der betroffenen Versionen sowie detaillierte Anweisungen zur Fehlerbehebung in den Sicherheitshinweisen veröffentlicht, die wir in der oben genannten Liste unter den entsprechenden CVE-IDs verlinkt haben. Kunden, die die Atlassian-Clouddienste nutzen, sind von diesen Lücken nicht betroffen und müssen daher nichts unternehmen, da Atlassian die notwendigen Reparaturarbeiten selbst durchführt.
Für alle anderen wird dringend empfohlen, die Sicherheitshinweise schnellstmöglich zu lesen und entsprechend zu handeln. Es ist wichtig, diese Lücken zu schließen, um potenzielle Angriffe zu verhindern. In der Vergangenheit haben Cyberkriminelle bereits ähnliche Sicherheitslücken bei Atlassian-Produkten ausgenutzt, um Ransomware auf Confluence-Servern zu installieren. Es dauerte nur sieben Tage zwischen der Entdeckung der Lücke und den gezielten Angriffen der Cyberkriminellen im November letzten Jahres.
Sicherheitslücken in Softwareprodukten sind ein ernstes Problem, da sie Angreifern Zugriff auf sensible Unternehmensdaten ermöglichen können. Daher ist es von größter Bedeutung, dass Unternehmen ihre Software regelmäßig auf Updates überprüfen und diese umgehend installieren, um Sicherheitslücken zu schließen und das Risiko von Angriffen zu minimieren.
Schlagwörter: Sicherheitslücken + AtlassianProdukte + Fremder Code
Wie bewerten Sie den Schreibstil des Artikels?