De Confluence suite van Atlassian is getroffen door een ernstige kwetsbaarheid, zo waarschuwt de Amerikaanse cybersecuritywaakhond U.S. Cyber Command. Via de kwetsbaarheid kunnen hackers willekeurige code draaien op een Confluence Server of datacenter instance.
Volgens de Amerikaanse cybersecuritytoezichthouder wordt inmiddels massaal misbruik gemaakt van de aangetroffen kwetsbaarheid en is een sterke waarschuwing daarom noodzakelijk. De kwetsbaarheid, die het label CVE-2021-26084 heeft meegekregen, werd al op 25 augustus door Atlassian zelf bekendgemaakt.
In de tussenliggende dagen is deze kwetsbaarheid dus veelvoudig uitgeprobeerd. Zo werd massale scanning en exploration-activiteit ontdekt onder vooral hosts in Brazilië, China, Hong Kong, Nepal, Roemenië, Rusland en de Verenigde Staten.
OGNL-kwetsbaarheid
De bug, die werd opgespoord via een bug-programma van de softwareleverancier, is een zogenoemde Object-Graph Navigation Language (OGNL)-injectie kwetsbaarheid. OGNL is een open-source Expression Language voor Java. Hiermee kunnen gebruikers simpelere expressies gebruiken dan die standaard door Java worden ondersteund.
Via de aangetroffen kwetsbaarheid kunnen endpoints door niet-beheerders of niet-geauthentiseerde eindgebruikers worden benaderd wanneer de functionaliteit is geactiveerd die iedere gebruiker het recht geeft een eigen account aan te maken. Deze staat blijkbaar standaard aan in Confluence. Hackers kunnen hierdoor makkelijk de Confluence-omgevingen van klanten inbreken en daar willekeurige (kwaadaardige) code draaien of verspreiden.
Getroffen versies
De door de kwetsbaarheid getroffen versies zijn alle Confluence-versies vanaf 4.xx tot de meeste 6.x.x en 7.x.x-versies. Klanten die een upgrade naar versies 6.13.23, 7.11.6, 7.12.5, 7.13.0, of 7.4.11 hebben uitgevoerd, worden niet getroffen. Ook klanten van de Confluence Cloud-omgeving worden niet getroffen.
Atlassian raadt klanten aan zo snel mogelijk de patches door te voeren of up te graden naar de genoemde issue-vrije versies van de Confluence-suite.