vulnerabilità
Alla fine di agosto Atlassian, la società di tool come Jira, Confluence e Hipchat, ha annunciato il rilascio di un aggiornamento per risolvere la vulnerabilità CVE-2021-26084 presente nella sua piattaforma collaborativa Confluence. Da allora, gli esperti di sicurezza hanno rilevato numerose ricerche di server Confluence vulnerabili e tentativi di sfruttamento attivo. Raccomandiamo a tutti gli amministratori di Confluence Server di effettuare l’aggiornamento il prima possibile.
CVE-2021-26084: di cosa si tratta?
CVE-2021-26084 è una vulnerabilità presente in Confluence e ha origine dall’uso dell’Object-Graph Navigation Language (OGNL) nel sistema di tag di Confluence. La vulnerabilità permette l’iniezione di codice OGNL e quindi l’esecuzione di un codice arbitrario sui computer su cui è installato Confluence Server o Confluence Data Center. In alcuni casi, anche un utente non autenticato può sfruttare la vulnerabilità (se è attiva l’opzione che consente agli utenti di registrarsi per creare l’account).
Atlassian considera critica questa vulnerabilità. Il suo grado di gravità CVSS è di 9.8, e sono già disponibili online vari proof-of-concept per sfruttarla, compresa una versione che permette l’esecuzione di codice remoto (RCE).
Quali versioni di Confluence sono vulnerabili?
La situazione è un po’ complessa. I clienti di Atlassian usano diverse versioni di Confluence e non sono noti per eseguire aggiornamenti tempestivi. Secondo la nota ufficiale di Atlassian, la società ha rilasciato aggiornamenti per le versioni 6.13.23, 7.4.11, 7.11.6, 7.12.5 e 7.13.0. Questo fa sì che la vulnerabilità CVE-2021-26084 possa essere ancora sfruttata nelle versioni di Confluence Server precedenti alla 6.13.23, dalla 6.14.0 alla 7.4.11, dalla 7.5.0 alla 7.11.6 e dalla 7.12.0 alla 7.12.5. Questa vulnerabilità non riguarda gli utenti di Confluence Cloud.
Come proteggersi
Atlassian raccomanda di usare la versione più recente di Confluence, che è la 7.13.0. Se non è possibile, si consiglia agli utenti delle versioni 6.13.x di aggiornare alla 6.13.23; 7.4.x alla 7.4.11, 7.11.x alla 7.11.6, e 7.12.x alla 7.12.5, rispettivamente. L’azienda offre anche diversi workaround temporanei per le soluzioni Linux-based e Microsoft Windows, rivolti a coloro che non possono realizzare nemmeno l’aggiornamenti a versioni un po’ più recenti.
I dispositivi che eseguono Confluence sono endpoint, proprio come qualsiasi altro server. E proprio come qualsiasi altro server, hanno bisogno di una buona soluzione di sicurezza per far sì che l’esecuzione di codici arbitrari sia significativamente più difficile.
Inoltre, tenete a mente che sfruttare la vulnerabilità da remoto costringerebbe i cybercriminali a entrare nella rete aziendale, e gli esperti che si avvalgono di servizi di Managed Detection and Response possono rilevare questo tipo di attività sospetta. Vale anche la pena di notare che l’accesso a Confluence dovrebbe essere limitato, nessuno al di fuori dell’azienda dovrebbe poter accedere ai servizi interni dell’azienda.
Consigli