Vergangene Woche hat Atlassian eine Sicherheitslücke in Confluence geschlossen. Kriminelle missbrauchen sie inzwischen.

Atlassian hat in der vergangenen Woche eine kritische Sicherheitslücke mit aktualisierten Software-Paketen in Confluence Server und Data Centergeschlossen. Nachdem kurze Zeit später Details zur Schwachstelle bekannt wurden, warnt der Hersteller nun, dass Angreifer sie aktiv attackieren.

Die Sicherheitsmitteilung von Atlassian hat inzwischen mehrere Aktualisierungen erfahren. Am Donnerstag vergangener Woche ergänzte das Unternehmen: “Im Rahmen der fortwährenden Überwachung dieser Schwachstelle durch Atlassian haben wir beobachtet, dass kritische Informationen über die Schwachstelle veröffentlicht wurden, die das Risiko eines Missbrauchs erhöhen”. Am Freitag folgte ein Hinweis, dass ein Kunde einen Angriff darauf gemeldet hat. Am Montag hat Atlassian jetzt den Schweregrad der Schwachstelle CVE-2023-22518 von CVSS 9.1 auf CVSS 10.0 erhöht.

Die Entwickler ergänzen: “Wir haben mehrere aktive Exploits und Berichte über bösartige Akteure gesichtet, die Ransomware einsetzen. Wir haben CVE-2023-22518 von CVSS 9.1 auf 10, der höchsten kritischen Einstufung, heraufgesetzt, da sich der Umfang des Angriffs geändert hat”. Es wurden demnach bösartige Plug-ins wie web.shell.Plugin sowie verschlüsselte oder zerstörte Dateien entdeckt.

Die Sicherheitslücke erlaubt Angreifern, ohne vorherige Anmeldung Confluence zurückzusetzen und einen Administratorzugang für eine Confluence-Instanz anzulegen. Die Instanz lässt sich somit vollständig kompromittieren. Öffentlich zugreifbare Confluence Data-Center- und Server-Instanzen stehen dieser kritischen Bedrohung gegenüber, wogegen IT-Verantwortliche umgehend Maßnahmen ergreifen sollten. Neben aktualisierten Software-Paketen steht auch eine Anleitung für temporäre Gegenmaßnahmen bereit, die Administratoren dann anwenden sollten, wenn ein Softwareupdate derzeit nicht möglich ist. Atlassian listet sie unter anderem in einer FAQ zu der Schwachstelle auf. Darin finden sich auch Hinweise auf Indizien für einen erfolgreichen Angriff (Indicators of Compromise, IOCs).

Die IT-Sicherheitsforscher von Rapid7 berichten ebenfalls von Angriffen auf die Sicherheitslücke. Sie nennen unter anderem IP-Adressen von angreifenden Systemen und auf infizierten Maschinen gestartete Prozesse und Skripte. Zudem erläutern sie, dass es sich bei der Ransomware um Cerber handelte, die auf missbrauchte Confluence-Server installiert wurde. Die Malware ist seit etwa 2016 aktiv und hatte damals in einer Variante auf befallenen Windows-Systemen die Erpressernachricht per Sprachausgabe vorgelesen.