ช่องโหว่ Atlassian Confluence ที่สามารถทำให้ผู้โจมเข้าถึง Server ได้

ช่องโหว่ Atlassian Confluence ที่สามารถทำให้ผู้โจมเข้าถึง Server ได้

เมื่อวันที่ 25 สิงหาคม 2564 ที่ผ่านมา ทาง Atlassian ได้ออกคำแนะนำด้านความปลอดภัยสำหรับช่องโหว่ CVE-2021-26084 - Confluence Server Webwork OGNL injection CVSS:9.8 ที่สามารถให้ผู้โจมตีทำการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บน Server ที่มีช่องโหว่ ซึ่งช่องโหว่ดังกล่าวเกิดจาก Open-source expression language (OGNL Injection) เป็นช่องโหว่ที่ทำให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ หรือบางครั้งผู้ใช้ที่ไม่ผ่านการตรวจสอบ ก็สามารถรันโค้ดบนเซิฟเวอร์ Confluence หรือ Data Center instance ได้ และล่าสุดพบว่ามีผู้โจมตีจากหลายๆ ประเทศทำการทดสอบ exploit servers เพื่อดาวน์โหลด และเรียกใช้ PowerShell script หรือ Linux Shell script

 

และ Bad Packets ที่เป็นบริษัทด้านความปลอดภัยได้ยืนยันว่าพบผู้โจมตีกำลังพยายามติดตั้ง XMRig cryptocurrency miner บน Windows Server และ Linux Confluence Servers เพื่อขุด Monero และถึงแม้ว่าในขณะนี้จะพบว่าช่องโหว่ดังกล่าวถูกใช้แค่ในการขุด cryptocurrency แต่ก็ไม่ได้หมายความว่าอนาคตกลุ่มแฮกเกอร์จะไม่โจมตีระบบด้วยวิธีการที่มีความรุนแรงมากกว่านี้ โดยเฉพาะหาก confluence server ติดตั้งแบบ host on-premise ซึ่งอาจทำให้เกิดการแพร่กระจายผ่านเครือข่าย และอาจนำไปสู่การโจมตี Ransomware และการขโมยข้อมูลได้

 

ลูกค้าของ Atlassian ที่อัพเกรดเป็นเวอร์ชั่น 6.13.23, 7.11.6, 7.12.5, 7.13.0 หรือ 7.4.11 แล้วจะไม่ได้รับผลกระทบ

ระบบ Confluence Server และ Confluence Data Center ที่ได้รับผลกระทบ

  • All 4.x.x versions
  • All 5.x.x versions
  • All 6.0.x versions
  • All 6.1.x versions
  • All 6.2.x versions
  • All 6.3.x versions
  • All 6.4.x versions
  • All 6.5.x versions
  • All 6.6.x versions
  • All 6.7.x versions
  • All 6.8.x versions
  • All 6.9.x versions
  • All 6.10.x versions
  • All 6.11.x versions
  • All 6.12.x versions
  • All 6.13.x versions before 6.13.23
  • All 6.14.x versions
  • All 6.15.x versions
  • All 7.0.x versions
  • All 7.1.x versions
  • All 7.2.x versions
  • All 7.3.x versions
  • All 7.4.x versions before 7.4.11
  • All 7.5.x versions
  • All 7.6.x versions
  • All 7.7.x versions
  • All 7.8.x versions
  • All 7.9.x versions
  • All 7.10.x versions
  • All 7.11.x versions before 7.11.6
  • All 7.12.x versions before 7.12.5

คำแนะนำ

  • หากกำลังใช้งานเวอร์ชันที่ได้รับผลกระทบ ให้อัปเกรดเป็นเวอร์ชัน 7.13.0 (LTS) หรือสูงกว่า
  • หากใช้เวอร์ชัน 6.13.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 6.13.23
  • หากใช้เวอร์ชัน 7.4.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.4.11
  • หากใช้เวอร์ชัน 7.11.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.11.6
  • หากใช้เวอร์ชัน 7.12.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.12.5

หรือถ้าหากไม่สามารถอัพเดทได้ในทันที สามารถแก้ไขเบื้องต้นได้ตามลิงค์ด้านล้างนี้ในหัวข้อ Mitigateon (confluence.atlassian)

ที่มา: BleepingComputer, BadPacket, Atlassian