Atlassian แจ้งเตือนช่องโหว่ระดับ Critical ที่อาจนำไปสู่เหตุการณ์ข้อมูลเสียหายได้

Atlassian แจ้งเตือนช่องโหว่ระดับ Critical ที่อาจนำไปสู่เหตุการณ์ข้อมูลเสียหายได้

Atlassian บริษัทซอฟต์แวร์จากออสเตรเลีย ออกมาแจ้งเตือนผู้ดูแลระบบให้อัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ใน Confluence instances ที่เข้าถึงได้จากอินเทอร์เน็ตทันที เพื่อป้องกันการถูกโจมตีจากช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งอาจนำไปสู่เหตุการณ์ข้อมูลเสียหายหากถูกโจมตีได้สำเร็จ
(more…)

Atlassian ออกแพตซ์อัปเดตแก้ไขช่องโหว่ Zero-Day ใน Confluence Data Center and Server ที่กำลังถูกใช้ในการโจมตี

Atlassian บริษัทซอฟต์แวร์ของออสเตรเลีย ได้ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉิน เพื่อแก้ไขช่องโหว่ Zero-day ใน Confluence Data Center and Server software ซึ่งกำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน โดยช่องโหว่ดังกล่าวมีคะแนน CVSS สูงสุดถึง 10/10

CVE-2023-22515 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ในการยกระดับสิทธิ์บน Confluence Data Center and Server ซึ่งสามารถโจมตีได้จากภายนอก และไม่จำเป็น (more…)

Atlassian แก้ไขช่องโหว่ authentication bypass บน Jira

Atlassian ได้เผยแพร่คำแนะนำด้านความปลอดภัยเพื่อแจ้งเตือนว่าผลิตภัณฑ์ Jira และ Jira Service Management ของ บริษัท ได้รับผลกระทบจากช่องโหว่การเลี่ยงผ่านการตรวจสอบสิทธิ์ที่สำคัญใน Seraph ซึ่งเป็น Framework การรักษาความปลอดภัยเว็บแอปพลิเคชันของบริษัท

Seraph ใช้ใน Jira และ Confluence เพื่อจัดการคำขอเข้าสู่ระบบ และออกจากระบบทั้งหมด

ช่องโหว่มีหมายเลข CVE-2022-0540 และ CVSS 9.9 ซึ่งทำให้ผู้โจมตีสามารถ bypass authentication โดยส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษไปยังเซิร์ฟเวอร์ปลายทางที่มีช่องโหว่

ผลิตภัณฑ์ที่ได้รับผลกระทบ ได้แก่ Jira Core Server, Software Data Center, Software Server, Service Management Server และ Management Data Center เวอร์ชันดังต่อไปนี้:

Jira Core Server, Software Server และ Software Data Center เวอร์ชันก่อน 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x เวอร์ชันก่อน 8.20.6 และ 8.21.x.
Jira Service Management Server and Management Data Center เวอร์ชันก่อน 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x เวอร์ชันก่อน 4.20.6, 4.21.x

ช่องโหว่นี้ไม่ส่งผลกระทบต่อเวอร์ชันคลาวด์สำหรับ Jira และ Jira Service Management.

ช่องโหว่ Atlassian Confluence ที่สามารถทำให้ผู้โจมเข้าถึง Server ได้

ช่องโหว่ Atlassian Confluence ที่สามารถทำให้ผู้โจมเข้าถึง Server ได้

เมื่อวันที่ 25 สิงหาคม 2564 ที่ผ่านมา ทาง Atlassian ได้ออกคำแนะนำด้านความปลอดภัยสำหรับช่องโหว่ CVE-2021-26084 - Confluence Server Webwork OGNL injection CVSS:9.8 ที่สามารถให้ผู้โจมตีทำการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บน Server ที่มีช่องโหว่ ซึ่งช่องโหว่ดังกล่าวเกิดจาก Open-source expression language (OGNL Injection) เป็นช่องโหว่ที่ทำให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ หรือบางครั้งผู้ใช้ที่ไม่ผ่านการตรวจสอบ ก็สามารถรันโค้ดบนเซิฟเวอร์ Confluence หรือ Data Center instance ได้ และล่าสุดพบว่ามีผู้โจมตีจากหลายๆ ประเทศทำการทดสอบ exploit servers เพื่อดาวน์โหลด และเรียกใช้ PowerShell script หรือ Linux Shell script

 

และ Bad Packets ที่เป็นบริษัทด้านความปลอดภัยได้ยืนยันว่าพบผู้โจมตีกำลังพยายามติดตั้ง XMRig cryptocurrency miner บน Windows Server และ Linux Confluence Servers เพื่อขุด Monero และถึงแม้ว่าในขณะนี้จะพบว่าช่องโหว่ดังกล่าวถูกใช้แค่ในการขุด cryptocurrency แต่ก็ไม่ได้หมายความว่าอนาคตกลุ่มแฮกเกอร์จะไม่โจมตีระบบด้วยวิธีการที่มีความรุนแรงมากกว่านี้ โดยเฉพาะหาก confluence server ติดตั้งแบบ host on-premise ซึ่งอาจทำให้เกิดการแพร่กระจายผ่านเครือข่าย และอาจนำไปสู่การโจมตี Ransomware และการขโมยข้อมูลได้

 

ลูกค้าของ Atlassian ที่อัพเกรดเป็นเวอร์ชั่น 6.13.23, 7.11.6, 7.12.5, 7.13.0 หรือ 7.4.11 แล้วจะไม่ได้รับผลกระทบ

ระบบ Confluence Server และ Confluence Data Center ที่ได้รับผลกระทบ

All 4.x.x versions
All 5.x.x versions
All 6.0.x versions
All 6.1.x versions
All 6.2.x versions
All 6.3.x versions
All 6.4.x versions
All 6.5.x versions
All 6.6.x versions
All 6.7.x versions
All 6.8.x versions
All 6.9.x versions
All 6.10.x versions
All 6.11.x versions
All 6.12.x versions
All 6.13.x versions before 6.13.23
All 6.14.x versions
All 6.15.x versions
All 7.0.x versions
All 7.1.x versions
All 7.2.x versions
All 7.3.x versions
All 7.4.x versions before 7.4.11
All 7.5.x versions
All 7.6.x versions
All 7.7.x versions
All 7.8.x versions
All 7.9.x versions
All 7.10.x versions
All 7.11.x versions before 7.11.6
All 7.12.x versions before 7.12.5

คำแนะนำ

หากกำลังใช้งานเวอร์ชันที่ได้รับผลกระทบ ให้อัปเกรดเป็นเวอร์ชัน 7.13.0 (LTS) หรือสูงกว่า
หากใช้เวอร์ชัน 6.13.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 6.13.23
หากใช้เวอร์ชัน 7.4.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.4.11
หากใช้เวอร์ชัน 7.11.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.11.6
หากใช้เวอร์ชัน 7.12.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.12.5

หรือถ้าหากไม่สามารถอัพเดทได้ในทันที สามารถแก้ไขเบื้องต้นได้ตามลิงค์ด้านล้างนี้ในหัวข้อ Mitigateon (confluence.

Confluence Servers Hacked to Install Miners and Rootkits

เมื่อวันที่ 20 มีนาคม 2562 ที่ผ่านมา ทาง Atlassian ได้ทำการปล่อยแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงสุดคือ CVE-2019-3396 ส่งผลกระทบกับ Confluence Server และ Confluence Data Center โดยช่องโหว่นี้กำลังถูกโจมตีหลายแบบที่ Confluence Server เช่น ถูกวาง ransomware, ถูกใช้เพื่อหา cryptocurrency และถูกวางมัลแวร์ที่ใช้การโจมตีแบบ DDos

3 สัปดาห์ต่อมาจากการแพตช์ ทางนักวิจัยด้านความปลอดภัยรายงานว่าแฮกเกอร์ทำการโจมตีอีกครั้งโดยใช้ช่องโหว่เดิม พบว่าเป็นการโจมตีจาก IP ที่มาจากประเทศโรมาเนียที่พยายามวางมัลแวร์ชื่อ Dofloo DDoS

และในวันที่ 7 พฤษภาคม 2019 นักวิจัยได้พบรูปแบบการโจมตีใหม่โดยใช้ช่องโหว่เดียวกันนี้อีก โดยเป็นการแพร่มัลแวร์ Kerberods ที่มีความสามารถในการหา cryptocurrency และวาง rootkit การโจมตีแบบใหม่นี้จะเริ่มต้นจากการส่งคำสั่งเพื่อดาวน์โหลดคำสั่งถัดไปจาก Pastebin โดยจะดาวน์โหลดคำสั่งเป็นขั้นๆ หลายครั้งจนกว่าจะถึงคำสังที่ใช้ดาวน์โหลดมัลแวร์ Kerberods

เมื่อมัลแวร์ Kerberods ถูกติดตั้ง มันจะใช้ทรัพยากรของเครื่องเซิร์ฟเวอร์เพื่อหา cryptocurrency จากนั้นจะวาง rootkit เพื่อซ่อนการทำงานและแพร่กระจายตัวเองต่อไป จากข่าวรายงานว่า rootkit มาในรูปแบบการเข้ารหัสและได้รับการคอมไพล์เป็นไบนารีด้วยระบบ GNU Compiler Collection (GCC) โดย rootkit มีวิธีการแพร่กระจายด้วยตนเองหลายวิธีโดยใช้การเชื่อมต่อ SSH และโมดูล Metasploit สำหรับหาช่องโหว่ CVE-2019-1003001 ในเซิร์ฟเวอร์ Jenkins อัตโนมัติ

ผู้ดูแลระบบ Confluence ควรทำการอัปเดตแพตช์ CVE-2019-3396 เพื่อความปลอดภัย
ที่มา: bleepingcomputer.