Confluence: Kritische Sicherheitslücke in veralteten Versionen wird ausgenutzt

In älteren Versionen der Wikisoftware Confluence klafft eine Sicherheitslücke, die Angreifern die Ausführung eigenen Codes aus der Ferne ermöglicht und so die Sicherheit von Daten und Server gefährdet. Seit Ende vergangener Woche suchen Kriminelle das Internet mit automatisierten Werkzeugen nach verwundbaren Installationen ab und versuchen, diese aus der Ferne zu übernehmen.

Der Hersteller wies seine Kunden bereits am vergangenen Dienstag auf die Sicherheitslücke hin, die er wie 27 weitere im Rahmen des Atlassian-Patchday behoben hat. Von CVE-2023-22527 (CVSS 10/10, Schweregrad kritisch) betroffen sind ältere Versionen von Confluence Server und Data Center, den durch Kunden in eigenen Rechenzentren gehosteten Versionen des Wikis. Die Atlassian Cloud ist – wie gewöhnlich bei derlei Sicherheitsmeldungen – nicht angreifbar.

Veraltete Installationen umgehend patchen

Wer allerdings in seiner Infrastruktur noch ein Confluence 8.0, 8.1, 8.2, 8.3, 8.4 (jeweils mit beliebigen Minor-Versionen) oder 8.5.0 bis 8.5.3 betreibt, dem droht empfindliches Ungemach. Wie das Shadowserver-Projekt auf Mastodon meldet, durchpflügen Angreifer derzeit von 600 verschiedenen IP-Adressen das Netz nach möglichen Opfern. Eine simple HTTP-POST-Anfrage genügt, um die Sicherheitslücke auszunutzen und den Confluence-Server zu übernehmen. Die IT-Security-Firma Project Discovery nennt in einer ausführlichen technischen Analyse Details zum Exploit und seiner Ursachen.

Ein Update auf die neueste Version – mindestens 8.5.4 (LTS) für die Server- und Data-Center-Version und 8.6.0 beziehungsweise 8.7.1 für die Confluence Data Center – behebt den Fehler. Wer nicht patchen kann, sollte sein angreifbares Confluence unverzüglich abschotten oder abschalten – und prüfen, ob möglicherweise bereits ein Angriff stattgefunden hat. Atlassian stellt weitere Informationen auf einer FAQ-Seite bereit, die die drängendsten Fragen beantwortet.

(cku)