Zero-Day-Schwachstelle in Atlassian Confluence Software – FTAPI reagiert

Kein Handlungsbedarf für FTAPI-Kunden

Am Wochenende wurde eine Zero-Day-Schwachstelle (CVE-2022-26134) in der Atlassian Confluence Software und ihren OnPremise-Versionen entdeckt. Ein Patch ist derzeit vom Anbieter in Arbeit und soll innerhalb der nächsten 24 Stunden bereitgestellt werden.

Von der Sicherheitslücke sind keine FTAPI-Produkte betroffen. Aktuell hat FTAPI allerdings die Online-Version des Produkt-Handbuchs offline genommen, bis der Patch ausgerollt ist.

Hinweis: Für FTAPI-Kunden besteht momentan kein Handlungsbedarf. Bei weiteren Fragen zum Handbuch wenden Sie sich gerne an support@ftapi.com.

Hintergrundinformationen

Aufgefallen ist die Lücke dem Sicherheitsunternehmen Volexity, die eine Incident-Response-Untersuchung bei zwei mit dem Internet verbundene Webserver eines seiner Kunden durchzuführen. Auf beiden Webservern lief die Atlassian Confluence Server-Software. Auslöser für die Untersuchung waren verdächtige Aktivitäten auf den Hosts, so wurde aus JSP-Webshells auf die Festplatte geschrieben.

Bei einer ersten Überprüfung eines der Confluence Server-Systeme wurde festgestellt, dass eine JSP-Datei in ein öffentlich zugängliches Webverzeichnis geschrieben worden war. Bei der Datei handelte es sich um eine bekannte Kopie der JSP-Variante der China Chopper Webshell. Eine Überprüfung der Webprotokolle ergab jedoch, dass auf die Datei kaum zugegriffen worden war. Die Webshell scheint als Mittel für einen sekundären Zugriff geschrieben worden zu sein.

Nach einer gründlichen Überprüfung der gesammelten Daten konnte festgestellt werden, dass die Kompromittierung des Servers von einem Angreifer ausging,. Dieser verwendete einen Exploit, um eine Remotecodeausführung zu erreichen. Volexity war anschließend in der Lage, diesen Exploit nachzustellen und eine Zero-Day-Schwachstelle zu identifizieren, die sich auf aktuelle Versionen von Confluence Server auswirkt.

Eine tiefere technische Erläuterung der Problematik finden Sie im nachfolgenden nützlichen Link zur Zero-Day-Lücke:

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

https://www.borncity.com/blog/2022/06/03/0-day-schwachstelle-cve-2022-26134-in-atlassian-confluence-software/

https://www.youtube.com/watch?v=-ggo7FB45pA