CVE-2023-22515 zorgt voor veel kopzorgen bij Atlassian. Het bedrijf had al op 4 oktober een patch beschikbaar voor een kwetsbaarheid in de eigen Confluence-software, maar lang niet iedereen heeft deze doorgevoerd. Het dwingt CISA, de FBI en MS-ISAC om een “joint advisory” op te zetten.
Atlassian Confluence Data Center and Server ontving een patch voor CVE-2023-22515. Klaarblijkelijk was dat voor veel gebruikers niet genoeg hulp, aangezien cybercriminelen deze kwetsbaarheid nog altijd actief exploiteren. Men kan via Confluence toegang verkrijgen tot een bedrijfsnetwerk, onder meer doordat het mogelijk is om privileges binnen de software te escaleren.
Eenvoudig
Inmiddels zijn cybercriminelen sterk geprofessionaliseerd, dus ook moeilijk te exploiteren cybergevaren moeten serieus genomen worden. Echter zou het hier mogelijk zijn om met een zeer eenvoudige methode organisaties te infiltreren. Tegenover SiliconANGLE vertelt Head of Product bij Keeper Security Zane Bond dat de eenvoudige aanvalswijzen snel patchen cruciaal maakt. “Ook moeten medewerkers hyper-oplettend zijn als het gaat om Indicators of Compromise, zoals nieuwe of verdachte admin-accounts.”
Microsoft onthulde dat een van de organisaties die de kwetsbaarheid exploiteert, onder de naam Storm-0062 bekendstaat. Deze groep zou met steun van de Chinese staat ook aanvallen plegen partijen die actief zijn op het gebied van medisch onderzoek, defensie en tech in onder andere de VS, het Verenigd Koninkrijk, Australië en de EU.
Niet de eerste keer, lang niet patchen een continu probleem
Confluence heeft al eerder voor vergelijkbare problemen gezorgd. CVE-2022-26138 stond aanvallers vorig jaar toe om een hard-coded wachtwoord te bemachtigen. Destijds kregen overheidsinstanties in de VS drie weken om de eigen Confluence-servers te patchen.
Gisteren lichtten we een Sonatype-onderzoek uit dat het grotere probleem van dergelijke kwetsbaarheden illustreert. Bij open-source software laat 39 procent van alle organisaties een week of langer een kwetsbaar component ongepatcht. De onderzoekers weten dit onder meer aan het overbelasten van security-personeel, dat jaarlijks gemiddeld 150 dependencies in de gaten heeft te houden bij een enkel stukje open-source software.