Admins von Confluence, Jira und Bitbucket kommen aus dem Patchen nicht heraus: Erneut hat Atlassian dringende Updates für seine wichtigsten Produkte vorgelegt.
Wer in seinem Unternehmen für die Wartung der lokalen Atlassian-Installationen verantwortlich ist, dürfte sich in den letzten Wochen bisweilen wie Bill Murray gefühlt haben: Es ist schon wieder Update-Murmeltiertag.
Dieses Mal erwischt es gleich drei der populärsten Anwendungen des australischen Softwareunternehmens: Sowohl im Versionskontrollsystem Bitbucket als auch in Jira und Confluence finden sich vier kritische Sicherheitslücken, die Admins umgehend stopfen sollten.
- CVE-2022-1471 (CVSSv3: 9.8/10, “kritisch“) betrifft alle drei Produkte in verschiedenen Editionen und Versionen. Die Lücke erlaubt das Einschleusen fremden Codes über unsichere Deserialisierungsroutinen. Die Lücke versteckt sich in der SnakeYAML-Bibliothek und Angreifer können sie ohne vorherige Anmeldung aus der Ferne ausnutzen.
- CVE-2022-22523 (CVSSv3: 9.8/10, “kritisch“) bezieht sich auf Jira Service Management mit installierter “Assets Discovery”-Anwendung. Auch hier können Angreifer ohne weitere Vorbedingungen eigenen Code einschleusen.
- CVE-2022-22524 (CVSSv3: 9.6/10, “kritisch“) ist nur für macOS-Nutzer relevant. Nutzen diese die Companion-App für Confluence, kann ein Angreifer ohne vorherige Authentifizierung per WebSockets an der App-eigenen Blocklist und dem macOS-Gatekeeper vorbei Code einschleusen und auf dem Mac ausführen.
- CVE-2022-22522 (CVSSv3: 9.0/10, “kritisch“) erlaubt einem Angreifer mit niedrigen Privilegien, in eine Confluence-Seite Code einzufügen. Dazu ist jedoch eine Anmeldung vonnöten, auch wenn die niedrigste Rechtestufe für den Angriff ausreicht.
Zügiges Handeln dringend empfohlen
Die Liste der betroffenen Versionen sowie konkrete Schritte zur Fehlerbereinigung hat Atlassian jeweils in Sicherheitshinweisen aufgeführt, die wir in der oben stehenden Liste unter den CVE-IDs verlinkt haben. Für alle vier Lücken gilt jedoch, dass Kunden der Atlassian-Clouddienste sich in Sicherheit wiegen können. Sie brauchen nichts zu unternehmen, Atlassian führt die notwendigen Reparaturarbeiten in Eigenregie durch.
Alle anderen sollten jedoch zügig die Sicherheitshinweise lesen und umsetzen. Cyberkriminelle haben kritische Atlassian-Sicherheitslücken erst kürzlich ausgenutzt, um Ransomware auf Confluence-Servern zu installieren. Zwischen Bekanntwerden der Lücke und den gezielten Angriffen der Cybercrime-Gangs lag im November nur ein Zeitraum von einer Woche.