Sehr geehrte Netzverantwortliche,

in Folge einer kritischen 0-day-Schwachstelle [1] [2] in der Wiki-Lösung Confluence arbeitet das LRZ seit heute Morgen intensiv an der Umsetzung der von Atlassian empfohlenen Maßnahmen. Ein Workaround wurde bereits implementiert. Bekannt werdende Angreifer-IPs werden laufend der Sperrliste hinzugefügt und das Monitoring und Filtern bekannter URL-Patterns ist im Gange.

Ein offizieller Patch wird erst für heute Nachmittag (03.06.2022) erwartet. Da die Lücke jedoch bereits weltweit aktiv ausgenutzt wird, folgte das LRZ der Empfehlung, die Erreichbarkeit der Confluence-Instanzen einzuschränken. Die Confluence-Instanzen doku.lrz.de, confluence.lrz.de, wiki.tum.de, colab.lmu.de werden somit bis zur Verfügbarkeit des offiziellen Patches nur aus dem MWN heraus erreichbar sein. Für den Zugriff von außerhalb ist also eine VPN-Verbindung erforderlich. Sobald der Patch verfügbar ist, wird dieser getestet, eingespielt und die Instanzen ohne weitere Vorankündigung neu gebootet.

Sollten Sie in Ihrem Verwaltungsbereich eigene Confluence-Instanzen betreiben, bitten wir Sie, den unten empfohlenen Maßnahmen zu folgen.

Beschreibung:
Atlassian veröffentlichte ein Security-Advisory zu einer kritischen Schwachstelle (CVE-2022-0540) in Confluence-Produkten [2].

Risiken:

Eine kritische Schwachstelle in Confluence (CVE-2022-26134) [1] ermöglicht es einem entfernten, nicht authentifizierten Angreifer, Code auszuführen [2].
Die Sicherheitslücke hat noch keinen CVSS-Score, ist jedoch mit Unauthenticated Remote Code Execution (RCE) als kritisch eingestuft [2].

Betroffene Produkte:

Confluence Server
Confluence Data Center

Betroffene Versionen:

Alle Version mit laufendem Support sind betroffen (alle LTS-Versionen).
Die früheste betroffene Version muss noch von Atlassian identifiziert werden.

Bereits gepatchte Versionen:

Es gibt noch keinen Patch für die Schwachstelle.
Atlassian arbeitet an einem Sicherheitspatch.

Behebung:

Sobald ein Patch bereitsteht, sollte dieser eingespielt werden.
Atlassian veröffentlicht diesbezüglich Informationen in dem Security-Advisory [2].
Wir werden Sie ebenfalls informieren, wenn ein Sicherheitspatch verfügbar ist.
Setzen Sie möglichst untenstehende Workarounds um, da der Sicherheitspatch erst heute Nachmittag erwartet wird.

Workaround:

Schränken Sie die Erreichbarkeit der Confluence-Instanzen auf interne Netze (Ihrer Organisation oder des MWN) ein, sodass die Instanz
nicht für Angreifer aus dem Internet erreichbar ist (Zugriff von außerhalb kann, falls vorhanden, mit einem VPN ins interne Netze realisiert werden).
- Unterstützend kann das Filtern/Blockieren von URLs helfen, die das Pattern ${ enthalten.
Alternativ: Deaktivieren Sie die Confluence-Instanzen bis der Sicherheitspatch verfügbar ist und eingespielt wurde.
Bekannte Angreifer IP-Adressen sind von Volexity im Zuge der Schwachstellenmeldung [3] dokumentiert (siehe IoC-Liste [A]) und sollten am Internetzugang blockiert werden.
Für das Münchner Wissenschaftsnetz (MWN) sind die dort gelisteten IP-Adressen bereits am zentralen Internetzugang blockiert.

Referenzen:
[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134
[2] https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
[3] https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

[A] https:///github.com/volexity/threat-intel/blob/main/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/indicators.csv

Bei weiteren Fragen melden Sie sich bitte bei uns.

Freundliche Grüße
MWN/LRZ Abuse Response Team