Atlassian ออกแพตซ์อัปเดตแก้ไขช่องโหว่ Zero-Day ใน Confluence Data Center and Server ที่กำลังถูกใช้ในการโจมตี

Atlassian บริษัทซอฟต์แวร์ของออสเตรเลีย ได้ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉิน เพื่อแก้ไขช่องโหว่ Zero-day ใน Confluence Data Center and Server software ซึ่งกำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน โดยช่องโหว่ดังกล่าวมีคะแนน CVSS สูงสุดถึง 10/10

CVE-2023-22515 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ในการยกระดับสิทธิ์บน Confluence Data Center and Server ซึ่งสามารถโจมตีได้จากภายนอก และไม่จำเป็นต้องให้ผู้ใช้งานมีการโต้ตอบใด ๆ เนื่องจากมีความซับซ้อนในการโจมตีต่ำ โดยช่องโหว่นี้ส่งผลกระทบต่อ Confluence Data Center and Server เวอร์ชัน 8.5.1 จนถึง 8.0.0

ทาง Atlassian ได้รับการรายงานจากผู้ใช้งานว่าพบ Hacker ทำการโจมตีโดยใช้ช่องโหว่ที่ไม่รู้จักใน Confluence Data Center และ Server instances ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ทำให้ Hacker สามารถสร้างบัญชีผู้ดูแลระบบ Confluence โดยไม่ได้รับอนุญาต และเข้าถึง Server instance ของ Confluence ได้

ทั้งนี้ Atlassian Cloud site ไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าวเนื่องจาก Confluence จะเข้าถึงผ่าน atlassian.net domain ซึ่งจะถูกโฮสต์โดย Atlassian
**

ปัจจุบันทาง Atlassian ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2023-22515 แล้ว ดังนี้ :

  • Confluence Data Center and Server เวอร์ชัน 3.3 หรือใหม่กว่า
  • Confluence Data Center and Server เวอร์ชัน 4.3 หรือใหม่กว่า
  • Confluence Data Center and Server เวอร์ชัน 5.2 (Long Term Support release) หรือใหม่กว่า

จึงได้แจ้งเตือนไปยังผู้ดูแลระบบให้เร่งอัปเดตโดยด่วน รวมถึงแนะนำให้ปิด Server instance ที่มีช่องโหว่ หรือนำออกจากการเข้าถึงอินเทอร์เน็ต หากยังไม่สามารถทำการอัปเดตได้ ทั้งนี้ผู้ดูแลระบบสามารถลดความเสี่ยงในการถูกโจมตีจากช่องโหว่นี้ออกได้โดยป้องกันการเข้าถึงตำแหน่งข้อมูล /setup/* บน Confluence instance

การตรวจสอบการถูกโจมตีจากช่องโหว่ CVE-2023-22515

Atlassian ได้แนะนำให้ทำการตรวจสอบ Confluence instance เพื่อหาร่องรอยการถูกโจมตี โดยตรวจสอบจาก :

  • การเพิ่มขึ้นของ members ใน confluence-administrator group โดยที่ไม่สามารถระบุที่มาได้
  • บัญชีของผู้ใช้ที่ถูกสร้างขึ้นใหม่ โดยที่ไม่สามารถระบุที่มาได้
  • การพบ request /setup/*.action ใน network access logs โดยที่ไม่สามารถระบุที่มาได้
  • การมีอยู่ของ /setup/setupadministrator.action ใน exception message ของ atlassian-confluence-security.log ที่อยู่ใน Confluence home directory

จากการออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2023-22515 มีความเป็นไปได้ที่ Hacker จะทำการวิเคราะห์ตัวอัปเดตดังกล่าว เพื่อค้นหาจุดอ่อน และนำไปใช้ในการโจมตีต่อไป

Atlassian ได้ให้คำแนะนำว่า หากพบว่า Confluence Server/DC instance ถูกโจมตี ให้รีบทำการปิดระบบโดยทันที และยกเลิกการเชื่อมต่อเซิร์ฟเวอร์จากเครือข่าย/อินเทอร์เน็ต รวมถึงอาจต้องปิดระบบอื่น ๆ ที่มีผู้ใช้งานร่วมกันหรือมีชื่อผู้ใช้/รหัสผ่านร่วมกับระบบที่ถูกโจมตีทันที

Confluence server เป็นเป้าหมายการโจมตีที่สำคัญ เนื่องจากในอดีตที่ผ่านมา ได้พบการโจมตีของกลุ่ม Hacker ต่าง ๆ ที่มุ่งเป้าหมายการโจมตีมายัง Confluence server เช่น กลุ่ม AvosLocker, กลุ่ม Cerber2021 ransomware, กลุ่ม Linux botnet malware และกลุ่ม crypto miner

 

ที่มา : bleepingcomputer