<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Sehr geehrte Netzverantwortliche,<div class=""><br class=""></div><div class="">der Patch wurde gestern spät abends auf den LRZ-Systemen eingespielt. Damit sind die </div><div class="">Confluence-Instanzen <a href="http://doku.lrz.de" class="">doku.lrz.de</a>, confluence.lrz.de, wiki.tum.de, colab.lmu.de </div><div class="">wieder normal erreichbar.</div><div class=""><br class=""></div><div class="">Mit freundlichen Grüßen </div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">MWN/LRZ Abuse Response Team</div><div class=""><div><br class=""><blockquote type="cite" class=""><div class="">Am 03.06.2022 um 14:20 schrieb Schmidt, Bernhard <<a href="mailto:Bernhard.Schmidt@lrz.de" class="">Bernhard.Schmidt@lrz.de</a>>:</div><br class="Apple-interchange-newline"><div class="">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" class="">
<div class="">
<div class="">Sehr geehrte Netzverantwortliche,<o:p class=""></o:p></div>
<div class=""><br class="">
</div>
<div class="">i<span style="color: rgb(51, 51, 51);" class="">n Folge einer kritischen<span class="Apple-converted-space"> </span></span><span class="hljs-number"><span style="color: teal;" class="">0</span></span><span style="color: rgb(51, 51, 51);" class="">-day-Schwachstelle [1] [2] in der
Wiki-Lösung Confluence arbeitet das LRZ seit heute Morgen intensiv<span class="Apple-converted-space"> </span><span class="hljs-keyword">an</span><span class="Apple-converted-space"> </span>der Umsetzung der von Atlassian empfohlenen Maßnahmen. Ein Workaround
wurde bereits implementiert. Bekannt werdende Angreifer-IPs werden laufend der Sperrliste hinzugefügt und das Monitoring und Filtern bekannter URL-Patterns<span class="Apple-converted-space"> </span><span class="hljs-keyword">ist im Gange</span>.<span class="Apple-converted-space"> </span></span><o:p class=""></o:p></div>
<div class=""><span style="color: rgb(51, 51, 51);" class="">Ein offizieller Patch wird erst<span class="Apple-converted-space"> </span><span class="hljs-keyword">f</span>ür heute Nachmittag (03.06.2022) erwartet. Da die Lücke jedoch bereits weltweit aktiv ausgenutzt wird, folgte
das LRZ der Empfehlung, die Erreichbarkeit der Confluence-Instanzen einzuschränken. Die Confluence-Instanzen<span class="Apple-converted-space"> </span><a href="http://doku.lrz.de/" title="Click to open http://doku.lrz.de/" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">doku.lrz.de</a>,<span class="Apple-converted-space"> </span><a href="http://confluence.lrz.de/" title="Click to open http://confluence.lrz.de/" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">confluence.lrz.de</a>,<span class="Apple-converted-space"> </span><a href="http://wiki.tum.de/" title="Click to open http://wiki.tum.de/" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">wiki.tum.de</a>,<span class="Apple-converted-space"> </span><a href="http://colab.lmu.de/" title="Click to open http://colab.lmu.de/" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">colab.lmu.de</a><span class="Apple-converted-space"> </span>werden
somit bis zur Verfügbarkeit des offiziellen Patches nur aus dem MWN heraus erreichbar sein. Für den Zugriff von<span class="Apple-converted-space"> </span><span class="hljs-keyword">au</span>ßerhalb ist also eine VPN-Verbindung erforderlich. Sobald der Patch
verfügbar ist, wird dieser getestet, eingespielt und die Instanzen ohne weitere Vorankündigung neu gebootet.<span class="Apple-converted-space"> </span></span><o:p class=""></o:p></div>
<div class=""><span style="color: rgb(51, 51, 51);" class=""><span class="Apple-converted-space"><br class="">
</span></span></div>
<div class=""><b class=""><font color="#ff0000" class="">Sollten Sie in Ihrem Verwaltungsbereich eigene Confluence-Instanzen betreiben, bitten wir Sie, den unten empfohlenen Maßnahmen zu folgen.</font></b><o:p class=""></o:p></div>
<div class=""><o:p class=""> </o:p></div>
<div class=""><br class="">
<strong class=""><span style="font-family: Calibri, sans-serif;" class="">Beschreibung:</span></strong><b class=""><br class="">
</b>Atlassian veröffentlichte ein Security-Advisory zu einer kritischen Schwachstelle (CVE-2022-0540) in Confluence-Produkten [2].<br class="">
<br class="">
<br class="">
<strong class=""><span style="font-family: Calibri, sans-serif;" class="">Risiken:</span></strong><o:p class=""></o:p></div>
<div class="">Eine kritische Schwachstelle in Confluence (CVE-2022-26134) [1] ermöglicht es einem entfernten, nicht authentifizierten Angreifer, Code auszuführen [2].<br class="">
Die Sicherheitslücke hat noch keinen CVSS-Score, ist jedoch mit Unauthenticated Remote Code Execution (RCE) als kritisch eingestuft [2].<o:p class=""></o:p></div>
<div class=""><br class="">
<b class=""><br class="">
<strong class=""><span style="font-family: Calibri, sans-serif;" class="">Betroffene Produkte:</span></strong></b><o:p class=""></o:p></div>
<ul type="disc" style="margin-bottom: 0cm; caret-color: rgb(0, 0, 0); font-family: "Noto Sans"; font-size: 13.333333px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class="">
<li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Confluence Server<o:p class=""></o:p></li><li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Confluence Data Center<o:p class=""></o:p></li></ul>
<div class=""><strong class=""><span style="font-family: Calibri, sans-serif;" class="">Betroffene Versionen:</span></strong><o:p class=""></o:p></div>
<div class=""><strong class=""><span style="font-family: Calibri, sans-serif;" class=""> Alle Version mit laufendem Support sind betroffen (alle LTS-Versionen).</span></strong><b class=""><br class="">
</b> Die früheste betroffene Version muss noch von Atlassian identifiziert werden.<o:p class=""></o:p></div>
<div class=""><strong class=""><span style="font-family: Calibri, sans-serif;" class="">Bereits gepatchte Versionen:</span></strong><o:p class=""></o:p></div>
<ul type="disc" style="margin-bottom: 0cm; caret-color: rgb(0, 0, 0); font-family: "Noto Sans"; font-size: 13.333333px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-tap-highlight-color: rgba(0, 0, 0, 0.4); -webkit-text-stroke-width: 0px; text-decoration: none;" class="">
<li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<strong class=""><span style="font-family: Calibri, sans-serif;" class=""><font color="#ff0000" class="">Es gibt noch keinen Patch für die Schwachstelle.</font></span></strong><o:p class=""></o:p></li><li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Atlassian arbeitet an einem Sicherheitspatch.<o:p class=""></o:p></li></ul>
<div class=""><strong class=""><span style="font-family: Calibri, sans-serif;" class="">Behebung:</span></strong><o:p class=""></o:p></div>
<ul type="disc" style="margin-bottom: 0cm; caret-color: rgb(0, 0, 0); font-family: "Noto Sans"; font-size: 13.333333px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class="">
<li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Sobald ein Patch bereitsteht, sollte dieser eingespielt werden.<br class="">
Atlassian veröffentlicht diesbezüglich Informationen in dem Security-Advisory [2].<br class="">
Wir werden Sie ebenfalls informieren, wenn ein Sicherheitspatch verfügbar ist.<o:p class=""></o:p></li><li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<strong class=""><span style="font-family: Calibri, sans-serif;" class="">Setzen Sie möglichst untenstehende Workarounds um, da der Sicherheitspatch erst heute Nachmittag erwartet wird.</span></strong><o:p class=""></o:p></li></ul>
<div class=""><o:p class=""> </o:p></div>
<div class=""><b class=""><font color="#ff0000" class=""><span style="font-family: Calibri, sans-serif;" class="">Workaround:</span><o:p class=""></o:p></font></b></div>
<ul type="disc" style="margin-bottom: 0cm; caret-color: rgb(0, 0, 0); font-family: "Noto Sans"; font-size: 13.333333px; font-style: normal; font-variant-caps: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-tap-highlight-color: rgba(0, 0, 0, 0.4); -webkit-text-stroke-width: 0px; text-decoration: none;" class="">
<li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<b class=""><font color="#ff0000" class=""><span style="font-family: Calibri, sans-serif;" class="">Schränken Sie die Erreichbarkeit der Confluence-Instanzen auf interne Netze (Ihrer Organisation oder des MWN) ein, sodass die Instanz</span><br class="">
<span style="font-family: Calibri, sans-serif;" class="">nicht für Angreifer aus dem Internet erreichbar ist (Zugriff von außerhalb kann, falls vorhanden, mit einem VPN ins interne Netze realisiert werden).</span><o:p class=""></o:p></font></b>
<ul type="circle" style="margin-bottom: 0cm;" class="">
<li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<b class=""><font color="#ff0000" class="">Unterstützend kann das Filtern/Blockieren von URLs helfen, die das Pattern<span class="Apple-converted-space"> </span><code style="font-family: "Courier New";" class=""><span style="font-size: 10pt;" class="">${</span></code><span class="Apple-converted-space"> </span>enthalten.<o:p class=""></o:p></font></b></li></ul>
</li><li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<b class=""><font color="#ff0000" class=""><span style="font-family: Calibri, sans-serif;" class="">Alternativ: Deaktivieren Sie die Confluence-Instanzen bis der Sicherheitspatch verfügbar ist und eingespielt wurde.</span><o:p class=""></o:p></font></b></li><li class="MsoNormal" style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<b class=""><font color="#ff0000" class="">Bekannte Angreifer IP-Adressen sind von Volexity im Zuge der Schwachstellenmeldung [3] dokumentiert (siehe IoC-Liste [A]) und sollten am Internetzugang blockiert werden.<br class="">
Für das Münchner Wissenschaftsnetz (MWN) sind die dort gelisteten IP-Adressen bereits am zentralen Internetzugang blockiert.</font></b><o:p class=""></o:p></li></ul>
<div class=""><br class="">
<strong class=""><span lang="EN-US" style="font-family: Calibri, sans-serif;" class="">Referenzen:</span></strong><span lang="EN-US" class=""><br class="">
[1]<span class="Apple-converted-space"> </span></span><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134" title="Click to open https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134" style="color: rgb(149, 79, 114); text-decoration: underline;" class=""><span lang="EN-US" class="">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134</span></a><span lang="EN-US" class=""><br class="">
[2]<span class="Apple-converted-space"> </span></span><a href="https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html" title="Click to open https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html" style="color: rgb(149, 79, 114); text-decoration: underline;" class=""><span lang="EN-US" class="">https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html</span></a><span lang="EN-US" class=""><br class="">
[3]<span class="Apple-converted-space"> </span></span><a href="https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/" title="Click to open https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/" style="color: rgb(149, 79, 114); text-decoration: underline;" class=""><span lang="EN-US" class="">https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/</span></a><span lang="EN-US" class=""><br class="">
<br class="">
[A]<span class="Apple-converted-space"> </span></span><a href="https://github.com/volexity/threat-intel/blob/main/2022/2022-06-02%20Active%20Exploitation%20Of%20Confluence%200-day/indicators/indicators.csv" title="Click to open https://github.com/volexity/threat-intel/blob/main/2022/2022-06-02%20Active%20Exploitation%20Of%20Confluence%200-day/indicators/indicato…" style="color: rgb(149, 79, 114); text-decoration: underline;" class=""><span lang="EN-US" class="">https:///github.com/volexity/threat-intel/blob/main/2022/2022-06-02
Active Exploitation Of Confluence 0-day/indicators/indicators.csv</span></a><span lang="EN-US" class=""><o:p class=""></o:p></span></div>
<div class=""><span lang="EN-US" class=""><o:p class=""> </o:p></span></div>
<div class="">Bei weiteren Fragen melden Sie sich bitte bei uns.<o:p class=""></o:p></div>
<div class="">Freundliche Grüße<br class="">
MWN/LRZ Abuse Response Team</div>
<div class=""><span class="">
<pre class=""><br class=""></pre>
</span></div>
</div>
</div></blockquote></div><br class=""></div></body></html>