Kritische Sicherheitslücke in Atlassian Confluence wird aktiv angegriffen

Kritische Atlassian-Confluence-Lücke wird angegriffen

Einleitung:


In der vergangenen Woche hat der Softwareentwickler Atlassian eine kritische Sicherheitslücke in Confluence Server und Data Center entdeckt und mit aktualisierten Software-Paketen behoben. Kurz darauf wurden Details zu der Schwachstelle bekannt woraufhin Atlassian nun vor aktiven Angriffen warnt.



Aktualisierung und erhöhter Schweregrad:


Atlassian hat inzwischen mehrere Aktualisierungen zu der Sicherheitsmitteilung veröffentlicht. Dabei wurde am Donnerstag darauf hingewiesen, dass Informationen über die Schwachstelle veröffentlicht wurden die das Missbrauchsrisiko erhöhen. Am Freitag gab Atlassian bekannt, dass ein Kunde einen Angriff darauf gemeldet habe. Am Montag wurde der Schweregrad der Schwachstelle von CVSS 9.1 auf 10.0 erhöht.



Exploits & Ransomware-Angriffe:


Atlassian hat mehrere aktive Exploits und Berichte über bösartige Akteure entdeckt die Ransomware einsetzen. Die Schwachstelle ermöglicht es Angreifern, ohne Anmeldung einen Administratorzugang für eine Confluence-Instanz anzulegen und diese vollständig zu kompromittieren. Öffentlich zugängliche Confluence Data-Center- & Server-Instanzen sind von dieser kritischen Bedrohung betroffen.



Maßnahmen und Gegenmaßnahmen:


Um sich vor Angriffen zu schützen, sollten IT-Verantwortliche umgehend Maßnahmen ergreifen. Neben der Installation der aktualisierten Software-Pakete stellt Atlassian eine Anleitung für temporäre Gegenmaßnahmen bereit, falls ein Softwareupdate derzeit nicht möglich ist. Die temporären Maßnahmen werden in einer FAQ zu der Schwachstelle aufgelistet. Dort finden sich ebenfalls Hinweise auf Indikatoren für einen erfolgreichen Angriff (Indicators of Compromise, IOCs).



Angriffe und IP-Adressen:


Auch die IT-Sicherheitsforscher von Rapid7 berichten von Angriffen auf die Sicherheitslücke. Sie nennen IP-Adressen von angreifenden Systemen und beschreiben die auf infizierten Maschinen gestarteten Prozesse & Skripte. Dabei handelte es sich um die Ransomware Cerber die auf den missbrauchten Confluence-Servern installiert wurde. Cerber ist seit etwa 2016 aktiv und hatte damals auf befallenen Windows-Systemen die Erpressernachricht per Sprachausgabe vorgelesen.






Kommentare


Anzeige