Re: Kritische Sicherheitslücke in Confluence (CVE-2022-26134) (0-day) (Confluence)

[Reiser, Helmut]

Sehr geehrte Netzverantwortliche,

der Patch wurde gestern spät abends auf den LRZ-Systemen eingespielt. Damit sind die 
Confluence-Instanzen doku.lrz.de, confluence.lrz.de, wiki.tum.de, colab.lmu.de 
wieder normal erreichbar.

Mit freundlichen Grüßen 


MWN/LRZ Abuse Response Team

> Am 03.06.2022 um 14:20 schrieb Schmidt, Bernhard <Bernhard.Schmidt at lrz.de>:
> 
> Sehr geehrte Netzverantwortliche,
> 
> in Folge einer kritischen 0-day-Schwachstelle [1] [2] in der Wiki-Lösung Confluence arbeitet das LRZ seit heute Morgen intensiv an der Umsetzung der von Atlassian empfohlenen Maßnahmen. Ein Workaround wurde bereits implementiert. Bekannt werdende Angreifer-IPs werden laufend der Sperrliste hinzugefügt und das Monitoring und Filtern bekannter URL-Patterns ist im Gange. 
> Ein offizieller Patch wird erst für heute Nachmittag (03.06.2022) erwartet. Da die Lücke jedoch bereits weltweit aktiv ausgenutzt wird, folgte das LRZ der Empfehlung, die Erreichbarkeit der Confluence-Instanzen einzuschränken. Die Confluence-Instanzen doku.lrz.de <http://doku.lrz.de/>, confluence.lrz.de <http://confluence.lrz.de/>, wiki.tum.de <http://wiki.tum.de/>, colab.lmu.de <http://colab.lmu.de/> werden somit bis zur Verfügbarkeit des offiziellen Patches nur aus dem MWN heraus erreichbar sein. Für den Zugriff von außerhalb ist also eine VPN-Verbindung erforderlich. Sobald der Patch verfügbar ist, wird dieser getestet, eingespielt und die Instanzen ohne weitere Vorankündigung neu gebootet. 
> 
> Sollten Sie in Ihrem Verwaltungsbereich eigene Confluence-Instanzen betreiben, bitten wir Sie, den unten empfohlenen Maßnahmen zu folgen.
>  
> 
> Beschreibung:
> Atlassian veröffentlichte ein Security-Advisory zu einer kritischen Schwachstelle (CVE-2022-0540) in Confluence-Produkten [2].
> 
> 
> Risiken:
> Eine kritische Schwachstelle in Confluence (CVE-2022-26134) [1] ermöglicht es einem entfernten, nicht authentifizierten Angreifer, Code auszuführen [2].
> Die Sicherheitslücke hat noch keinen CVSS-Score, ist jedoch mit Unauthenticated Remote Code Execution (RCE) als kritisch eingestuft [2].
> 
> 
> Betroffene Produkte:
> Confluence Server
> Confluence Data Center
> Betroffene Versionen:
>  Alle Version mit laufendem Support sind betroffen (alle LTS-Versionen).
>  Die früheste betroffene Version muss noch von Atlassian identifiziert werden.
> Bereits gepatchte Versionen:
> Es gibt noch keinen Patch für die Schwachstelle.
> Atlassian arbeitet an einem Sicherheitspatch.
> Behebung:
> Sobald ein Patch bereitsteht, sollte dieser eingespielt werden.
> Atlassian veröffentlicht diesbezüglich Informationen in dem Security-Advisory [2].
> Wir werden Sie ebenfalls informieren, wenn ein Sicherheitspatch verfügbar ist.
> Setzen Sie möglichst untenstehende Workarounds um, da der Sicherheitspatch erst heute Nachmittag erwartet wird.
>  
> Workaround:
> Schränken Sie die Erreichbarkeit der Confluence-Instanzen auf interne Netze (Ihrer Organisation oder des MWN) ein, sodass die Instanz
> nicht für Angreifer aus dem Internet erreichbar ist (Zugriff von außerhalb kann, falls vorhanden, mit einem VPN ins interne Netze realisiert werden).
> Unterstützend kann das Filtern/Blockieren von URLs helfen, die das Pattern ${ enthalten.
> Alternativ: Deaktivieren Sie die Confluence-Instanzen bis der Sicherheitspatch verfügbar ist und eingespielt wurde.
> Bekannte Angreifer IP-Adressen sind von Volexity im Zuge der Schwachstellenmeldung [3] dokumentiert (siehe IoC-Liste [A]) und sollten am Internetzugang blockiert werden.
> Für das Münchner Wissenschaftsnetz (MWN) sind die dort gelisteten IP-Adressen bereits am zentralen Internetzugang blockiert.
> 
> Referenzen:
> [1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134 <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134>
> [2] https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html <https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html>
> [3] https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/ <https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/>
> 
> [A] https:///github.com/volexity/threat-intel/blob/main/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/indicators.csv <https://github.com/volexity/threat-intel/blob/main/2022/2022-06-02%20Active%20Exploitation%20Of%20Confluence%200-day/indicators/indicators.csv>
>  
> Bei weiteren Fragen melden Sie sich bitte bei uns.
> Freundliche Grüße
> MWN/LRZ Abuse Response Team
> 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lrz.de/pipermail/aktuell/attachments/20220604/af82b45c/attachment-0001.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5336 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.lrz.de/pipermail/aktuell/attachments/20220604/af82b45c/attachment-0001.bin>