{"id":30603,"date":"2023-10-25T16:14:53","date_gmt":"2023-10-25T14:14:53","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30603"},"modified":"2023-10-25T16:14:53","modified_gmt":"2023-10-25T14:14:53","slug":"confluence-data-center-server-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/confluence-data-center-server-vulnerability\/30603\/","title":{"rendered":"Ein guter Grund, Confluence zu aktualisieren"},"content":{"rendered":"<p>K\u00fcrzlich haben die <a href=\"https:\/\/de.wikipedia.org\/wiki\/Center_for_Internet_Security\" target=\"_blank\" rel=\"noopener nofollow\">CISA<\/a>, das FBI und das MS-ISAC eine gemeinsame <a href=\"https:\/\/www.theregister.com\/2023\/10\/17\/confluence_zero_day_advisory\/\" target=\"_blank\" rel=\"noopener nofollow\">Empfehlung<\/a> ver\u00f6ffentlicht, in der alle Organisationen, die Confluence Data Center und Confluence Server verwenden, dazu aufgefordert werden, die Software aufgrund einer schwerwiegenden Sicherheitsl\u00fccke umgehend zu aktualisieren. Wir erkl\u00e4ren Ihnen, worin das Problem genau besteht und warum diese Empfehlung vollkommen gerechtfertigt ist.<\/p>\n<p>\u00a0<\/p>\n<h2>CVE-2023-22515 in Confluence Data Center und Confluence Server<\/h2>\n<p>Die fragliche Schwachstelle mit der Bezeichnung <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-22515\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-22515<\/a> wurde auf der Skala CVSS 3.0 mit der H\u00f6chststufe 10.0 bewertet und als kritisch eingestuft. Die Sicherheitsl\u00fccke erm\u00f6glicht es Angreifern den Serverkonfigurationsprozess auch ohne Authentifizierung neu zu starten. Durch den Exploit von CVE-2023-22515 k\u00f6nnten Angreifer Konten mit Administratorrechten auf einem anf\u00e4lligen Confluence-Server erstellen.<\/p>\n<div id=\"attachment_30604\" style=\"width: 3010px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2023\/10\/25161126\/confluence-data-center-server-vulnerability-1-scaled.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-30604\" class=\"size-full wp-image-30604\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2023\/10\/25161126\/confluence-data-center-server-vulnerability-1-scaled.jpg\" alt=\"Schweregrad CVE-2023-22515\" width=\"3000\" height=\"2068\"><\/a><p id=\"caption-attachment-30604\" class=\"wp-caption-text\">CVE-2023-22515: hoher Schweregrad und extrem Exploit-anf\u00e4llig. <a target=\"_blank\" rel=\"nofollow noopener\">Quelle<\/a><\/p><\/div>\n<p>\u00a0<\/p>\n<p>Nur Unternehmen, die Atlassian Confluence Data Center und Confluence Server als On-Premise-L\u00f6sung nutzen, sind gef\u00e4hrdet. Cloud-Kunden sind von dem Problem nicht betroffen. Auch Confluence Data Center- und Confluence Server-Versionen vor Version 8.0.0 sind von dieser Schwachstelle nicht betroffen. Im Folgenden finden Sie die vollst\u00e4ndige Liste der anf\u00e4lligen Versionen laut Atlassian:<\/p>\n<p>\u00a0<\/p>\n<ul>\n<li>0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4<\/li>\n<li>1.0, 8.1.1, 8.1.3, 8.1.4<\/li>\n<li>2.0, 8.2.1, 8.2.2, 8.2.3<\/li>\n<li>3.0, 8.3.1, 8.3.2<\/li>\n<li>4.0, 8.4.1, 8.4.2<\/li>\n<li>5.0, 8.5.1<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<h2>Aktiver Exploit und PoC auf GitHub<\/h2>\n<p>Das Hauptproblem besteht darin, dass die Sicherheitsl\u00fccke extrem leicht ausgenutzt werden kann. Hinzu kommt, dass f\u00fcr einen erfolgreichen Angriff auf einen anf\u00e4lligen Server kein Zugang zu einem Konto auf diesem erforderlich ist; das erweitert den Aktionsradius der Angreifer ungemein.<\/p>\n<p>Das Schl\u00fcsselmerkmal des Angriffs ist, dass anf\u00e4llige Versionen von Confluence Data Center und Confluence Server Angreifern erm\u00f6glichen, den Wert des Attributs <code>bootstrapStatusProvider.applicationConfig.setupComplete<\/code> ohne die Authentifizierung des Servers in <code><em>false<\/em><\/code> zu \u00e4ndern. Dadurch wird die Server-Setup-Phase neu initialisiert und Administratorkonten k\u00f6nnen problemlos erstellt werden.<\/p>\n<div id=\"attachment_30605\" style=\"width: 1870px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2023\/10\/25161137\/confluence-data-center-server-vulnerability-2.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-30605\" class=\"size-full wp-image-30605\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2023\/10\/25161137\/confluence-data-center-server-vulnerability-2.png\" alt=\"Hauptmerkmal des Exploits durch CVE-2023-22515 \" width=\"1860\" height=\"508\"><\/a><p id=\"caption-attachment-30605\" class=\"wp-caption-text\">Hauptmerkmal des Schwachstellen-Exploits von Confluence Data Center und Confluence Server. <a target=\"_blank\" rel=\"nofollow noopener\">Quelle<\/a><\/p><\/div>\n<p>\u00a0<\/p>\n<p>Bitte bedenken Sie, dass dies nicht nur reine Theorie ist \u2013 echte Angriffe werden bereit aktiv durchgef\u00fchrt. Eine Woche nachdem die Informationen \u00fcber CVE-2023-22515 ver\u00f6ffentlicht wurden, <a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1711871732644970856\" target=\"_blank\" rel=\"noopener nofollow\">entdeckte<\/a> das Microsoft Threat Intelligence-Team eine APT-Gruppe, die diese Sicherheitsl\u00fccke ausnutzte.<\/p>\n<div id=\"attachment_30606\" style=\"width: 1196px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2023\/10\/25161146\/confluence-data-center-server-vulnerability-3.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-30606\" class=\"size-full wp-image-30606\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2023\/10\/25161146\/confluence-data-center-server-vulnerability-3.png\" alt=\"Warnung von Microsoft Threat Intelligence \u00fcber den Exploit von CVE-2023-22515 durch Storm-0062 (alias DarkShadow, Oro0lxy) \" width=\"1186\" height=\"528\"><\/a><p id=\"caption-attachment-30606\" class=\"wp-caption-text\">Microsoft Threat Intelligence warnt \u00fcber den Exploit von CVE-2023-22515. <a target=\"_blank\" rel=\"nofollow noopener\">Quelle<\/a><\/p><\/div>\n<p>\u00a0<\/p>\n<p>Wie oben bereits erw\u00e4hnt, ist diese Sicherheitsl\u00fccke in Confluence Data Center und Confluence Server extrem einfach auszunutzen. Das bedeutet, dass nicht nur hochqualifizierte APT-Hacker sie ausnutzen k\u00f6nnen, sondern auch <a href=\"https:\/\/www.kaspersky.com\/blog\/social-engineering-cases\/48697\/\" target=\"_blank\" rel=\"noopener nofollow\">gelangweilte Schulkinder<\/a>. Ein <a href=\"https:\/\/github.com\/vulhub\/vulhub\/tree\/master\/confluence\/CVE-2023-22515\" target=\"_blank\" rel=\"noopener nofollow\">Proof-of-Concept-Exploit f\u00fcr CVE-2023-22515<\/a> ist bereits auf GitHub aufgetaucht, samt <a href=\"https:\/\/github.com\/Chocapikk\/CVE-2023-22515\" target=\"_blank\" rel=\"noopener nofollow\">Python-Skript<\/a>, mit dem sich die Schwachstelle m\u00fchelos ausnutzen l\u00e4sst, und das in gro\u00dfem Ma\u00dfstab: daf\u00fcr m\u00fcssen Angreifer lediglich eine Liste von Zielserveradressen in das Skript eingeben.<\/p>\n<p>\u00a0<\/p>\n<h2>So sch\u00fctzen Sie Ihre Infrastruktur vor CVE-2023-22515<\/h2>\n<p>Wenn m\u00f6glich, sollten Sie Confluence Data Center oder Confluence Server auf eine Version aktualisieren, in der die Schwachstelle bereits gepatcht ist (8.3.3, 8.4.3, 8.5.2), oder auf eine neuere Variante derselben Version.<\/p>\n<p>Sollte ein Update nicht m\u00f6glich sein, wird empfohlen, die anf\u00e4lligen Confluence-Server vom \u00f6ffentlichen Zugriff auszuschlie\u00dfen, d. h. den Zugriff auf diese Server \u00fcber externe Netzwerke zu deaktivieren, bis das Update installiert ist.<\/p>\n<p>Wenn auch das nicht m\u00f6glich ist, kann die Bedrohung einged\u00e4mmt werden, indem der Zugriff auf die Konfigurationsseiten gesperrt wird. N\u00e4here Einzelheiten dazu finden Sie auf <a href=\"https:\/\/confluence.atlassian.com\/security\/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html\" target=\"_blank\" rel=\"noopener nofollow\">dieser Seite<\/a> von Atlassian. Die erw\u00e4hnte Option ersetzt trotzdem nicht die Notwendigkeit, Confluence Data Center oder Confluence Server zu aktualisieren: Sie unterbindet lediglich vor\u00fcbergehend einen bekannten Angriffsvektor.<\/p>\n<p>Unternehmen, die sowohl Confluence Data Center als auch Confluence Server einsetzen, sollten dar\u00fcber hinaus pr\u00fcfen, ob diese Schwachstelle bereits f\u00fcr Angriffe auf sie ausgenutzt wurde. Einige Indizien, die f\u00fcr einen Exploit von CVE-2023-22515 sprechen, sind:<\/p>\n<ul>\n<li>Auff\u00e4llige neue Mitglieder der Gruppe <code>confluence-administrators<\/code>;<\/li>\n<li>Unerwartet neu erstellte Benutzerkonten;<\/li>\n<li>Anfragen an <code>\/setup\/*.action<\/code> in den Netzwerkzugriffsprotokollen;<\/li>\n<li>Pr\u00e4senz von <code>\/setup\/setupadministrator.action<\/code> in einer Fehlernachricht in <code>atlassian-confluence-security.log<\/code> im Stammverzeichnis von Confluence.<\/li>\n<\/ul>\n<p>Bedenken Sie, dass die \u00dcbernahme der Kontrolle \u00fcber Confluence durch den Exploit von CVE-2023-22515 wahrscheinlich nicht das prim\u00e4re Ziel der Angreifer ist. Vielmehr wird er wahrscheinlich als Ausgangspunkt f\u00fcr weitere Angriffe auf die Informationssysteme des Unternehmens dienen.<\/p>\n<p>Um auff\u00e4llige Aktivit\u00e4ten in der Unternehmensinfrastruktur zu verfolgen, nutzen Sie eine <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/endpoint-detection-response-edr?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">EDR-L\u00f6sung (Endpoint Detection and Response)<\/a>. Wenn Ihrem lokalen Informationssicherheitsteam die notwendigen Ressourcen fehlen, k\u00f6nnen Sie diese Aufgabe an <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/managed-detection-and-response?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">externe Dienstleister<\/a> auslagern, die konstant nach Bedrohungen Ausschau halten und diese angemessen beseitigen und in Schach halten.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>Aktualisieren Sie Confluence Data Center und Confluence Server: Beide enthalten eine schwerwiegende Schwachstelle, die die Erstellung von Administratorkonten erm\u00f6glicht. <\/p>\n","protected":false},"author":2726,"featured_media":30607,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,1848,3107,3108],"tags":[3871,274,3870,1498,1653,1012],"class_list":{"0":"post-30603","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-atlassian","12":"tag-bedrohungen","13":"tag-confluence","14":"tag-schwachstellen","15":"tag-security","16":"tag-updates"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/confluence-data-center-server-vulnerability\/30603\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/confluence-data-center-server-vulnerability\/26524\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/21957\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/29224\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/confluence-data-center-server-vulnerability\/26802\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/26767\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/confluence-data-center-server-vulnerability\/29263\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/confluence-data-center-server-vulnerability\/36447\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/49404\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/confluence-data-center-server-vulnerability\/21106\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/confluence-data-center-server-vulnerability\/21917\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/confluence-data-center-server-vulnerability\/27103\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/confluence-data-center-server-vulnerability\/32811\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/confluence-data-center-server-vulnerability\/32461\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstellen\/","name":"Schwachstellen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30603","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30603"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30603\/revisions"}],"predecessor-version":[{"id":30608,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30603\/revisions\/30608"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30607"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30603"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30603"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}