Atlassian เปิดเผยช่องโหว่ Remote Code Execution (RCE) ออกมาเมื่อวันที่ 16 มกราคม 2024 โดยมีหมายเลข CVE-2023-22527 ซึ่งส่งผลกระทบต่อเวอร์ชันเก่าของ Confluence Data Center และ Confluence Server

CVE-2023-22527 เป็นช่องโหว่ระดับ critical ที่เกี่ยวกับ Object-Graph Navigation Language (OGNL) injection และมีคะแนน CVSS สูงถึง 10 คะแนน

OGNL (Object-Graph Navigation Language) เป็นภาษาแสดงผลที่ใช้ใน Java และถูกใช้ในแอปพลิเคชัน เช่น Atlassian Confluence เมื่อแอปพลิเคชันเหล่านี้ไม่สามารถตรวจสอบ และ sanitize ข้อมูลที่ผู้ใช้ป้อนเข้ามาให้ถูกต้อง ก่อนนำมาใช้ใน OGNL มันสามารถส่งผลให้เกิดช่องโหว่ด้านความปลอดภัยที่เรียกว่า 'OGNL insert' ได้

เหตุนี้ทำให้ผู้ไม่หวังดีสามารถป้อนสตริงที่ถูกสร้างขึ้นมาโดยเฉพาะเพื่อใส่ใน OGNL expressions ภายในหน้าจอผู้ใช้ หรือในช่องป้อนข้อมูล ซึ่งทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนระบบที่ได้รับผลกระทบ

Cyble Global Sensor Intelligence (CGSI) network ตรวจพบการพยายามโจมตีโดยใช้ช่องโหว่ CVE-2023-22527 เมื่อวันที่ 26 มกราคม 2024 การวิเคราะห์ของรูปแบบการโจมตีที่ CGSI ตรวจพบ แสดงให้เห็นว่าผู้โจมตีมุ่งเป้าหมายการโจมตีไปที่แอปพลิเคชัน Atlassian Confluence ที่มีช่องโหว่ในประเทศต่อไปนี้

China
Singapore
Brazil
United States
Russia
Vietnam
India
Germany
United Kingdom
Romania

 

 

กรณีที่ข้อมูลถูกเปิดเผยใน Atlassian Confluence

ตามรายงานการสแกนของ Cyble ODIN ระบุว่าในช่วงสามเดือนที่ผ่านมามี Confluence มากกว่า 4,000 แห่ง ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต โดยส่วนใหญ่อยู่ในประเทศสหรัฐอเมริกา, เยอรมนี, จีน และรัสเซีย

รายละเอียดของช่องโหว่

ช่องโหว่ RCE (การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล) ใน Confluence Data Center และ Confluence Server

CVE-2023-22527 (CVSS:3.1: 9.8) ระดับความรุนแรง Critical ช่องโหว่ template injection ใน Confluence Data Center และ Server เวอร์ชันเก่า ที่ทำให้ผู้โจมตีสามารถ Remote Code Execution ในเวอร์ชันที่ได้รับผลกระทบได้

เวอร์ชันที่ได้รับผลกระทบ : Confluence Data Center and Confluence Server endpoints, versions 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, and 8.5.0 to 8.5.3

รายละเอียดทางเทคนิค

ช่องโหว่นี้เกิดขึ้นจากไฟล์ template 'velocity' ชื่อ 'text-inline.

แฮ็กเกอร์กำลังเริ่มโจมตีโดยใช้ช่องโหว่ zero-day ระดับ Critical ** ของ Atlassian Confluence ที่มีหมายเลข CVE-2022-26134 เพื่อติดตั้งเว็บเชลล์ โดยปัจจุบันยังไม่มีวิธีการแก้ไขออกมาจาก Atlassian

วันนี้ (2 มิ.ย. 2565) Atlassian ได้ออกคำแนะนำด้านความปลอดภัยที่เปิดเผยว่าช่องโหว่ CVE-2022-26134 เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์ ซึ่งพบทั้งใน Confluence Server และ Data Center

Atlassian ยืนยันว่ามีช่องโหว่ใน Confluence Server 7.18.0 และเชื่อว่า Confluence Server และ Data Center 7.4.0 ก็มีความเสี่ยงเช่นกัน โดยคำแนะนำยังเตือนว่าผู้โจมตีกำลังเริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าวบน Confluence Server 7.18.0 และยังไม่มีแพตซ์ในปัจจุบัน

Atlassian จึงแนะนำให้ผู้ใช้งานปิดการเชื่อมต่อไปยัง Confluence Server และ Data Center จากอินเทอร์เน็ต หรือปิดการใช้งานไปเลยเป็นการชั่วคราว เนื่องจากยังไม่มีวิธีอื่นในการลดผลกระทบ  ส่วนองค์กรที่ใช้ Atlassian Cloud (เข้าถึงได้ทาง atlassian.

Atlassian ได้เผยแพร่คำแนะนำด้านความปลอดภัยเพื่อแจ้งเตือนว่าผลิตภัณฑ์ Jira และ Jira Service Management ของ บริษัท ได้รับผลกระทบจากช่องโหว่การเลี่ยงผ่านการตรวจสอบสิทธิ์ที่สำคัญใน Seraph ซึ่งเป็น Framework การรักษาความปลอดภัยเว็บแอปพลิเคชันของบริษัท

Seraph ใช้ใน Jira และ Confluence เพื่อจัดการคำขอเข้าสู่ระบบ และออกจากระบบทั้งหมด

ช่องโหว่มีหมายเลข CVE-2022-0540 และ CVSS 9.9 ซึ่งทำให้ผู้โจมตีสามารถ bypass authentication โดยส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษไปยังเซิร์ฟเวอร์ปลายทางที่มีช่องโหว่

ผลิตภัณฑ์ที่ได้รับผลกระทบ ได้แก่ Jira Core Server, Software Data Center, Software Server, Service Management Server และ Management Data Center เวอร์ชันดังต่อไปนี้:

Jira Core Server, Software Server และ Software Data Center เวอร์ชันก่อน 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x เวอร์ชันก่อน 8.20.6 และ 8.21.x.
Jira Service Management Server and Management Data Center เวอร์ชันก่อน 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x เวอร์ชันก่อน 4.20.6, 4.21.x

ช่องโหว่นี้ไม่ส่งผลกระทบต่อเวอร์ชันคลาวด์สำหรับ Jira และ Jira Service Management.