Ein guter Grund, Confluence zu aktualisieren

Kürzlich haben die CISA, das FBI und das MS-ISAC eine gemeinsame Empfehlung veröffentlicht, in der alle Organisationen, die Confluence Data Center und Confluence Server verwenden, dazu aufgefordert werden, die Software aufgrund einer schwerwiegenden Sicherheitslücke umgehend zu aktualisieren. Wir erklären Ihnen, worin das Problem genau besteht und warum diese Empfehlung vollkommen gerechtfertigt ist.

CVE-2023-22515 in Confluence Data Center und Confluence Server

Die fragliche Schwachstelle mit der Bezeichnung CVE-2023-22515 wurde auf der Skala CVSS 3.0 mit der Höchststufe 10.0 bewertet und als kritisch eingestuft. Die Sicherheitslücke ermöglicht es Angreifern den Serverkonfigurationsprozess auch ohne Authentifizierung neu zu starten. Durch den Exploit von CVE-2023-22515 könnten Angreifer Konten mit Administratorrechten auf einem anfälligen Confluence-Server erstellen.

CVE-2023-22515: hoher Schweregrad und extrem Exploit-anfällig. Quelle

Nur Unternehmen, die Atlassian Confluence Data Center und Confluence Server als On-Premise-Lösung nutzen, sind gefährdet. Cloud-Kunden sind von dem Problem nicht betroffen. Auch Confluence Data Center- und Confluence Server-Versionen vor Version 8.0.0 sind von dieser Schwachstelle nicht betroffen. Im Folgenden finden Sie die vollständige Liste der anfälligen Versionen laut Atlassian:

• 0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4
• 1.0, 8.1.1, 8.1.3, 8.1.4
• 2.0, 8.2.1, 8.2.2, 8.2.3
• 3.0, 8.3.1, 8.3.2
• 4.0, 8.4.1, 8.4.2
• 5.0, 8.5.1

Aktiver Exploit und PoC auf GitHub

Das Hauptproblem besteht darin, dass die Sicherheitslücke extrem leicht ausgenutzt werden kann. Hinzu kommt, dass für einen erfolgreichen Angriff auf einen anfälligen Server kein Zugang zu einem Konto auf diesem erforderlich ist; das erweitert den Aktionsradius der Angreifer ungemein.

Das Schlüsselmerkmal des Angriffs ist, dass anfällige Versionen von Confluence Data Center und Confluence Server Angreifern ermöglichen, den Wert des Attributs bootstrapStatusProvider.applicationConfig.setupComplete ohne die Authentifizierung des Servers in false zu ändern. Dadurch wird die Server-Setup-Phase neu initialisiert und Administratorkonten können problemlos erstellt werden.

Hauptmerkmal des Schwachstellen-Exploits von Confluence Data Center und Confluence Server. Quelle

Bitte bedenken Sie, dass dies nicht nur reine Theorie ist – echte Angriffe werden bereit aktiv durchgeführt. Eine Woche nachdem die Informationen über CVE-2023-22515 veröffentlicht wurden, entdeckte das Microsoft Threat Intelligence-Team eine APT-Gruppe, die diese Sicherheitslücke ausnutzte.

Microsoft Threat Intelligence warnt über den Exploit von CVE-2023-22515. Quelle

Wie oben bereits erwähnt, ist diese Sicherheitslücke in Confluence Data Center und Confluence Server extrem einfach auszunutzen. Das bedeutet, dass nicht nur hochqualifizierte APT-Hacker sie ausnutzen können, sondern auch gelangweilte Schulkinder. Ein Proof-of-Concept-Exploit für CVE-2023-22515 ist bereits auf GitHub aufgetaucht, samt Python-Skript, mit dem sich die Schwachstelle mühelos ausnutzen lässt, und das in großem Maßstab: dafür müssen Angreifer lediglich eine Liste von Zielserveradressen in das Skript eingeben.

So schützen Sie Ihre Infrastruktur vor CVE-2023-22515

Wenn möglich, sollten Sie Confluence Data Center oder Confluence Server auf eine Version aktualisieren, in der die Schwachstelle bereits gepatcht ist (8.3.3, 8.4.3, 8.5.2), oder auf eine neuere Variante derselben Version.

Sollte ein Update nicht möglich sein, wird empfohlen, die anfälligen Confluence-Server vom öffentlichen Zugriff auszuschließen, d. h. den Zugriff auf diese Server über externe Netzwerke zu deaktivieren, bis das Update installiert ist.

Wenn auch das nicht möglich ist, kann die Bedrohung eingedämmt werden, indem der Zugriff auf die Konfigurationsseiten gesperrt wird. Nähere Einzelheiten dazu finden Sie auf dieser Seite von Atlassian. Die erwähnte Option ersetzt trotzdem nicht die Notwendigkeit, Confluence Data Center oder Confluence Server zu aktualisieren: Sie unterbindet lediglich vorübergehend einen bekannten Angriffsvektor.

Unternehmen, die sowohl Confluence Data Center als auch Confluence Server einsetzen, sollten darüber hinaus prüfen, ob diese Schwachstelle bereits für Angriffe auf sie ausgenutzt wurde. Einige Indizien, die für einen Exploit von CVE-2023-22515 sprechen, sind:

• Auffällige neue Mitglieder der Gruppe confluence-administrators;
• Unerwartet neu erstellte Benutzerkonten;
• Anfragen an /setup/*.action in den Netzwerkzugriffsprotokollen;
• Präsenz von /setup/setupadministrator.action in einer Fehlernachricht in atlassian-confluence-security.log im Stammverzeichnis von Confluence.

Bedenken Sie, dass die Übernahme der Kontrolle über Confluence durch den Exploit von CVE-2023-22515 wahrscheinlich nicht das primäre Ziel der Angreifer ist. Vielmehr wird er wahrscheinlich als Ausgangspunkt für weitere Angriffe auf die Informationssysteme des Unternehmens dienen.

Um auffällige Aktivitäten in der Unternehmensinfrastruktur zu verfolgen, nutzen Sie eine EDR-Lösung (Endpoint Detection and Response). Wenn Ihrem lokalen Informationssicherheitsteam die notwendigen Ressourcen fehlen, können Sie diese Aufgabe an externe Dienstleister auslagern, die konstant nach Bedrohungen Ausschau halten und diese angemessen beseitigen und in Schach halten.