<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body>
<div>Sehr geehrte Netzverantwortliche,<o:p></o:p></div>
<div><br>
</div>
<div>i<span style="color: rgb(51, 51, 51);">n Folge einer kritischen<span class="Apple-converted-space"> </span></span><span class="hljs-number"><span style="color: teal;">0</span></span><span style="color: rgb(51, 51, 51);">-day-Schwachstelle [1] [2] in der
 Wiki-Lösung Confluence arbeitet das LRZ seit heute Morgen intensiv<span class="Apple-converted-space"> </span><span class="hljs-keyword">an</span><span class="Apple-converted-space"> </span>der Umsetzung der von Atlassian empfohlenen Maßnahmen. Ein Workaround
 wurde bereits implementiert. Bekannt werdende Angreifer-IPs werden laufend der Sperrliste hinzugefügt und das Monitoring und Filtern bekannter URL-Patterns<span class="Apple-converted-space"> </span><span class="hljs-keyword">ist im Gange</span>.<span class="Apple-converted-space"> </span></span><o:p></o:p></div>
<div><span style="color: rgb(51, 51, 51);">Ein offizieller Patch wird erst<span class="Apple-converted-space"> </span><span class="hljs-keyword">f</span>ür heute Nachmittag (03.06.2022) erwartet. Da die Lücke jedoch bereits weltweit aktiv ausgenutzt wird, folgte
 das LRZ der Empfehlung, die Erreichbarkeit der Confluence-Instanzen einzuschränken. Die Confluence-Instanzen<span class="Apple-converted-space"> </span><a href="http://doku.lrz.de/" title="Click to open http://doku.lrz.de/" style="color: rgb(149, 79, 114); text-decoration: underline;">doku.lrz.de</a>,<span class="Apple-converted-space"> </span><a href="http://confluence.lrz.de/" title="Click to open http://confluence.lrz.de/" style="color: rgb(149, 79, 114); text-decoration: underline;">confluence.lrz.de</a>,<span class="Apple-converted-space"> </span><a href="http://wiki.tum.de/" title="Click to open http://wiki.tum.de/" style="color: rgb(149, 79, 114); text-decoration: underline;">wiki.tum.de</a>,<span class="Apple-converted-space"> </span><a href="http://colab.lmu.de/" title="Click to open http://colab.lmu.de/" style="color: rgb(149, 79, 114); text-decoration: underline;">colab.lmu.de</a><span class="Apple-converted-space"> </span>werden
 somit bis zur Verfügbarkeit des offiziellen Patches nur aus dem MWN heraus erreichbar sein. Für den Zugriff von<span class="Apple-converted-space"> </span><span class="hljs-keyword">au</span>ßerhalb ist also eine VPN-Verbindung erforderlich. Sobald der Patch
 verfügbar ist, wird dieser getestet, eingespielt und die Instanzen ohne weitere Vorankündigung neu gebootet.<span class="Apple-converted-space"> </span></span><o:p></o:p></div>
<div><span style="color: rgb(51, 51, 51);"><span class="Apple-converted-space"><br>
</span></span></div>
<div><b><font color="#ff0000">Sollten Sie in Ihrem Verwaltungsbereich eigene Confluence-Instanzen betreiben, bitten wir Sie, den unten empfohlenen Maßnahmen zu folgen.</font></b><o:p></o:p></div>
<div><o:p> </o:p></div>
<div><br>
<strong><span style="font-family: Calibri, sans-serif;">Beschreibung:</span></strong><b><br>
</b>Atlassian veröffentlichte ein Security-Advisory zu einer kritischen Schwachstelle (CVE-2022-0540) in Confluence-Produkten [2].<br>
<br>
<br>
<strong><span style="font-family: Calibri, sans-serif;">Risiken:</span></strong><o:p></o:p></div>
<div>Eine kritische Schwachstelle in Confluence (CVE-2022-26134) [1] ermöglicht es einem entfernten, nicht authentifizierten Angreifer, Code auszuführen [2].<br>
Die Sicherheitslücke hat noch keinen CVSS-Score, ist jedoch mit Unauthenticated Remote Code Execution (RCE) als kritisch eingestuft [2].<o:p></o:p></div>
<div><br>
<b><br>
<strong><span style="font-family: Calibri, sans-serif;">Betroffene Produkte:</span></strong></b><o:p></o:p></div>
<ul type="disc" style="margin-bottom: 0cm; caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: "Noto Sans"; font-size: 13.333333px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-tap-highlight-color: rgba(0, 0, 0, 0.4); -webkit-text-stroke-width: 0px; text-decoration: none;">
<li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Confluence Server<o:p></o:p></li><li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Confluence Data Center<o:p></o:p></li></ul>
<div><strong><span style="font-family: Calibri, sans-serif;">Betroffene Versionen:</span></strong><o:p></o:p></div>
<div><strong><span style="font-family: Calibri, sans-serif;"> Alle Version mit laufendem Support sind betroffen (alle LTS-Versionen).</span></strong><b><br>
</b> Die früheste betroffene Version muss noch von Atlassian identifiziert werden.<o:p></o:p></div>
<div><strong><span style="font-family: Calibri, sans-serif;">Bereits gepatchte Versionen:</span></strong><o:p></o:p></div>
<ul type="disc" style="margin-bottom: 0cm; caret-color: rgb(0, 0, 0); font-family: "Noto Sans"; font-size: 13.333333px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-tap-highlight-color: rgba(0, 0, 0, 0.4); -webkit-text-stroke-width: 0px; text-decoration: none;">
<li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<strong><span style="font-family: Calibri, sans-serif;"><font color="#ff0000">Es gibt noch keinen Patch für die Schwachstelle.</font></span></strong><o:p></o:p></li><li class="MsoNormal" style="color: rgb(0, 0, 0); margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Atlassian arbeitet an einem Sicherheitspatch.<o:p></o:p></li></ul>
<div><strong><span style="font-family: Calibri, sans-serif;">Behebung:</span></strong><o:p></o:p></div>
<ul type="disc" style="margin-bottom: 0cm; caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: "Noto Sans"; font-size: 13.333333px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-tap-highlight-color: rgba(0, 0, 0, 0.4); -webkit-text-stroke-width: 0px; text-decoration: none;">
<li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Sobald ein Patch bereitsteht, sollte dieser eingespielt werden.<br>
Atlassian veröffentlicht diesbezüglich Informationen in dem Security-Advisory [2].<br>
Wir werden Sie ebenfalls informieren, wenn ein Sicherheitspatch verfügbar ist.<o:p></o:p></li><li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<strong><span style="font-family: Calibri, sans-serif;">Setzen Sie möglichst untenstehende Workarounds um, da der Sicherheitspatch erst heute Nachmittag erwartet wird.</span></strong><o:p></o:p></li></ul>
<div><o:p> </o:p></div>
<div><b><font color="#ff0000"><span style="font-family: Calibri, sans-serif;">Workaround:</span><o:p></o:p></font></b></div>
<ul type="disc" style="margin-bottom: 0cm; caret-color: rgb(0, 0, 0); font-family: "Noto Sans"; font-size: 13.333333px; font-style: normal; font-variant-caps: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-tap-highlight-color: rgba(0, 0, 0, 0.4); -webkit-text-stroke-width: 0px; text-decoration: none;">
<li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<b><font color="#ff0000"><span style="font-family: Calibri, sans-serif;">Schränken Sie die Erreichbarkeit der Confluence-Instanzen auf interne Netze (Ihrer Organisation oder des MWN) ein, sodass die Instanz</span><br>
<span style="font-family: Calibri, sans-serif;">nicht für Angreifer aus dem Internet erreichbar ist (Zugriff von außerhalb kann, falls vorhanden, mit einem VPN ins interne Netze realisiert werden).</span><o:p></o:p></font></b>
<ul type="circle" style="margin-bottom: 0cm;">
<li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<b><font color="#ff0000">Unterstützend kann das Filtern/Blockieren von URLs helfen, die das Pattern<span class="Apple-converted-space"> </span><code style="font-family: "Courier New";"><span style="font-size: 10pt;">${</span></code><span class="Apple-converted-space"> </span>enthalten.<o:p></o:p></font></b></li></ul>
</li><li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<b><font color="#ff0000"><span style="font-family: Calibri, sans-serif;">Alternativ: Deaktivieren Sie die Confluence-Instanzen bis der Sicherheitspatch verfügbar ist und eingespielt wurde.</span><o:p></o:p></font></b></li><li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<b><font color="#ff0000">Bekannte Angreifer IP-Adressen sind von Volexity im Zuge der Schwachstellenmeldung [3] dokumentiert (siehe IoC-Liste [A]) und sollten am Internetzugang blockiert werden.<br>
Für das Münchner Wissenschaftsnetz (MWN) sind die dort gelisteten IP-Adressen bereits am zentralen Internetzugang blockiert.</font></b><o:p></o:p></li></ul>
<div><br>
<strong><span lang="EN-US" style="font-family: Calibri, sans-serif;">Referenzen:</span></strong><span lang="EN-US"><br>
[1]<span class="Apple-converted-space"> </span></span><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134" title="Click to open https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134" style="color: rgb(149, 79, 114); text-decoration: underline;"><span lang="EN-US">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134</span></a><span lang="EN-US"><br>
[2]<span class="Apple-converted-space"> </span></span><a href="https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html" title="Click to open https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html" style="color: rgb(149, 79, 114); text-decoration: underline;"><span lang="EN-US">https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html</span></a><span lang="EN-US"><br>
[3]<span class="Apple-converted-space"> </span></span><a href="https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/" title="Click to open https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/" style="color: rgb(149, 79, 114); text-decoration: underline;"><span lang="EN-US">https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/</span></a><span lang="EN-US"><br>
<br>
[A]<span class="Apple-converted-space"> </span></span><a href="https://github.com/volexity/threat-intel/blob/main/2022/2022-06-02%20Active%20Exploitation%20Of%20Confluence%200-day/indicators/indicators.csv" title="Click to open https://github.com/volexity/threat-intel/blob/main/2022/2022-06-02%20Active%20Exploitation%20Of%20Confluence%200-day/indicators/indicato…" style="color: rgb(149, 79, 114); text-decoration: underline;"><span lang="EN-US">https:///github.com/volexity/threat-intel/blob/main/2022/2022-06-02
 Active Exploitation Of Confluence 0-day/indicators/indicators.csv</span></a><span lang="EN-US"><o:p></o:p></span></div>
<div><span lang="EN-US"><o:p> </o:p></span></div>
<div>Bei weiteren Fragen melden Sie sich bitte bei uns.<o:p></o:p></div>
<div>Freundliche Grüße<br>
MWN/LRZ Abuse Response Team</div>
<div><span>
<pre><br></pre>
</span></div>
</body>
</html>