1. CVE-2023-22515 – Zero-Day Privilege Escalation Vulnerability in Atlassian Confluence Data Center and Server 

CVE-2023-22515 – Zero-Day Privilege Escalation Vulnerability in Atlassian Confluence Data Center and Server 

Severity: Critical

CVSS v3 Score: 10.0

Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Thông tin về CVE-2023-22515:

Ngày 4 tháng 10, Atlassian đưa thông báo về lỗ hổng Zero-day định danh CVE-2023-22515 đã và đang được khai thác trên các khách hàng sử dụng các sản phẩm Confluence Data Center và Confluence Server.

CVE-2023-22515 là một lỗ hổng leo thang đặc quyền ở mức độ nghiêm trọng, khai thác thành công sẽ cho phép remote hacker tạo và sử dụng tài khoản quyền admin trên on-premise Confluence instances, khai thác thêm có thể thực thi mã từ xa, compromise toàn bộ hệ thống. Chi tiết của lỗ hổng chưa được nêu rõ, tuy nhiên Atlassian có tiết lộ endpoint bị ảnh hưởng là /setup/*. Việc chặn truy cập mạng tới endpoint này sẽ giảm thiểu rủi ro khai thác của lỗ hổng.

Hiện tại chưa có mã khai thác được public trên Internet, tuy nhiên các sysadmin có sử dụng sản phẩm bị ảnh hưởng nên áp dụng các biện pháp phòng tránh sớm nhất có thể.

Các sản phẩm bị ảnh hưởng:

Confluence Data Center và Confluence Server các phiên bản được liệt kê dưới đây bị ảnh hưởng:

8.0.0

8.0.1

8.0.2

8.0.3

8.0.4

8.1.0

8.1.1

8.1.3

8.1.4

8.2.0

8.2.1

8.2.2

8.2.3

8.3.0

8.3.1

8.3.2

8.4.0

8.4.1

8.4.2

8.5.0

8.5.1

Các sản phẩm không bị ảnh hưởng:

Confluence Data Center và Confluence Server ở các phiên bản dưới đây không bị ảnh hưởng:

< 8.0.0

>= 8.3.3

>= 8.4.3

>= 8.5.2 (Long Term Support release)

Atlassian Cloud không bị ảnh hưởng. Nếu Confluence site truy cập qua domain atlassian.net tức đang được host bởi Atlassian, không bị ảnh hưởng bởi lỗ hổng.

Cách khắc phục  

Các sysadmin đang có hệ thống Confluence Data Center hoặc Confluence Server chạy version bị ảnh hưởng cần:

Nâng cấp sản phẩm tới các phiên bản đã được vá lỗi hoặc mới nhất từ Atlassian.

Nếu không thể nâng cấp, cần thực hiện các biện pháp phòng tránh:

Chặn truy cập tới api endpoint /setup/* ở tầng network hoặc có thể thực hiện thay đổi file cấu hình Confluence theo hướng dẫn dưới đây:

Trên mỗi node, sửa code trong file /<confluence-install-dir>/confluence/WEB-INF/web.xml, thêm đoạn code dưới đây trước tag </web-app> ở cuối file:

<security-constraint>

     <web-resource-collection>

       <url-pattern>/setup/*</url-pattern>

<http-method-omission>*</http-method-omission>

</web-resource-collection>

     <auth-constraint />

</security-constraint>

  • Restart Confluence
  • Liên hệ SOC security team nếu hệ thống có dấu hiệu bị khai thác:
  • Group confluence-administrator có thêm thành viên mới
  • Kiểm tra list users hiện tại nếu có thêm bất kỳ thành viên mới
  • Kiểm tra các request tới /setup/*.action trong network access logs.
  • Kiểm tra file atlassian-confluence-security.log trong thư mục home của Confluence nếu xuất hiện dòng message có đoạn /setup/setupadministrator.action

 

Thông tin chi tiết, tham khảo:

https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html

https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html

https://www.tenable.com/blog/cve-2023-22515-zero-day-vulnerability-in-atlassian-confluence-data-center-and-server-exploited