Aanvallers stellen honderdduizenden kwetsbare Atlassian Confluence Data en Concluence Server instaties bloot

Een recent ontdekte kwetsbaarheid in twee Atlassian-producten stelt aanvallers in staat om RCE-aanvallen (Remote Code Execution) uit te voeren op getroffen systemen.
De bug, getraceerd als CVE-2024-21683, die geschikt is voor RCE treft het Confluence Data Center en de Confluence Server.
Volgens het onderzoeksteam van Cybernews kunnen aanvallers, omdat bedrijven deze diensten gebruiken om teams te helpen samenwerken en informatie te delen, het lek gebruiken om binnen te dringen in de getroffen systemen en gegevens te verkrijgen.
Met een CVSS Score van 8.3 staat het lek een geauthenticeerde aanvaller toe om willekeurige code uit te voeren, wat een hoge impact heeft op vertrouwelijkheid, hoge impact op integriteit, hoge impact op beschikbaarheid en geen gebruikersinteractie vereist.

Hoeveel Atlassian-instanties zijn er blootgesteld?

Hoewel Atlassian een fix uitbracht voor beide getroffen services, ontdekte het team dat honderdduizenden kwetsbare instanties zijn blootgesteld aan het internet, waardoor bedreigingsactoren worden verleid om actie te ondernemen.
Onderzoekers van Cybernews ontdekten dat maar liefst 224.962 Data Center en Server instanties waren blootgesteld. Aanvallers kunnen dezelfde tools gebruiken om de getroffen servers te ontdekken en de recent ontdekte kwetsbaarheid gebruiken voor snode bedoelingen.
Onderzoekers beweren bijvoorbeeld dat aanvallers de bug kunnen gebruiken voor hun eerste toegang tot een netwerk of omgeving. Als ze eenmaal voet aan de grond hebben, kunnen aanvallers volledige controle over het systeem krijgen, inclusief de mogelijkheid om malware te installeren, toegang te krijgen tot gevoelige gegevens en systeemconfiguraties te manipuleren.

“Gecompromitteerd systeem kan worden gebruikt als draaipunt voor verdere aanvallen binnen het netwerk”, aldus het team.

De blootgestelde instanties brengen ook gewone gebruikers in gevaar. Onderzoekers denken dat kwaadwillenden inloggegevens kunnen stelen, waardoor ze kunnen binnendringen in Atlassian-accounts en andere accounts waar dezelfde gegevens worden hergebruikt. Volgens het team zijn RCE-bugs een vaak gebruikte aanvalsvector voor geavanceerde ransomware-bendes om eerste toegangspunten te krijgen tot doelsystemen.
Vorig jaar maakte Cl0p, een prominent ransomware-kartel, bijvoorbeeld gebruik van een nu gepatchte zero-day bug in Progress Software's MOVEit Transfer software, waardoor aanvallers toegang kregen tot de daar opgeslagen gegevens en deze konden downloaden. Duizenden organisaties en tientallen miljoenen mensen werden getroffen, met tientallen miljoenen dollars schade tot gevolg.
Volgens Ransomlooker, Cybernews' tool voor het monitoren van ransomware, staat de gemiddelde eis voor losgeld op 5,3 miljoen dollar, waardoor het cruciaal is om bugs die RCE ondersteunen zo snel mogelijk te repareren.

Welke landen zijn het meest getroffen?

Een diepe duik in de informatie over de blootgestelde datacenter- en serverservices onthulde dat slechts vijf landen de helft van de nog kwetsbare instanties hosten.
Volgens het team herbergt de VS met 53.195 het grootste aantal waarschijnlijk kwetsbare instanties. Nog eens 22.007 kwetsbare instanties worden getraceerd naar Japan.
Ondertussen hosten Zuid-Afrika, Frankrijk en Duitsland elk meer dan 11.000 ongepatchte Confluence services.
Het team adviseert organisaties die zijn blootgesteld aan de nieuwe RCE-bug om Atlassian Confluence Server of Data Center onmiddellijk te upgraden naar de nieuwste versie die door Atlassian wordt aanbevolen.
Atlassian is een Australisch-Amerikaanse softwaregigant die producten levert voor ontwikkelaars en managers. Het bedrijf heeft meer dan 10.000 werknemers en rapporteert een omzet van meer dan 3,5 miljard dollar in 2023.

Projectbeheerplatform Jira en bedrijfssoftware Confluence zijn de paradepaardjes van het bedrijf. De recente bug is niet de eerste keer dat de producten van Atlassian te maken hebben met kritieke kwetsbaarheden. In 2022 maakten tegenstanders en actoren uit staten misbruik van een RCE-bug die van invloed was op Confluence van Atlassian.