Atlassian: Sicherheitslücke in Confluence wird massenhaft ausgenutzt

Tausende Confluence-Server wurden noch nicht gepatcht. Das US-Cybercom warnt vor der Sicherheitslücke, die massenhaft ausgenutzt wird.

Artikel veröffentlicht am ,
Ein Server
Ein Server (Bild: Edgar Oliver/Pixabay)

Eine vor knapp zwei Wochen gepatchte Sicherheitslücke in der Wiki-Software Confluence wird massenhaft ausgenutzt. Das schreibt die US-Militärorganisation Cybercom in einer öffentlichen Warnung. Die Sicherheitslücke ermöglicht es, eigenen Code auf den Servern auszuführen.

Stellenmarkt
  1. Principal Data Engineer (m/f/d)
    über experteer GmbH, München
  2. Berufseinstieg Java Entwickler:in (m/w/d)
    Lufthansa Industry Solutions AS GmbH, verschiedene Standorte
Detailsuche

"Die massenhafte Ausnutzung von Atlassian Confluence CVE-2021-26084 ist im Gange und wird voraussichtlich noch zunehmen. Bitte patchen Sie sofort, wenn Sie es noch nicht getan haben", teilte US Cybercom am Freitag vor dem Feiertag Labor Day in einem Tweet mit.

Confluence-Hersteller Atlassian hatte am 25. August einen Hinweis auf die Sicherheitslücke (CVE-2021-26084) veröffentlicht und sie mit den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0 behoben. Betroffen sind nur die Nutzer von selbst gehosteten Confluence-Servern, nicht die der Cloud-Variante. Atlassian selbst spricht von einer "kritischen Sicherheitslücke".

Lücke in der OGNL-Implementierung

Bei der Sicherheitslücke handelt es sich um einen Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass beliebiger Code auf dem Server ausgeführt werden kann. In den meisten Fällen ist zur Ausnutzung der Lücke zwar eine Authentifizierung nötig, jedoch gibt es in Ausnahmefällen diese Einschränkung nicht.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Mehrere Sicherheitsforscher hatten daraufhin einen Proof-of-Concept-Code veröffentlicht, der demonstriert, wie die Sicherheitslücke ausgenutzt werden kann. "Am 31. August identifizierte Censys 13.596 verwundbare Confluence-Instanzen, während diese Zahl am 02. September auf 11.689 verwundbare Instanzen gesunken ist", erklärte die Sicherheitsfirma Censys in einem Blogeintrag. Am 5. September seien es noch 8.597 gewesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Roku Streambar: Soundbar mit Streamingfunktionen kostet 150 Euro
    Roku Streambar
    Soundbar mit Streamingfunktionen kostet 150 Euro

    Roku kommt nach Deutschland und bringt parallel zu externen Streaminggeräten auch eine Soundbar, um den Klang des Fernsehers aufzuwerten.

  2. Konkurrenz zu Fire-TV-Sticks: Roku bringt Streaming-Gerät für 30 Euro
    Konkurrenz zu Fire-TV-Sticks
    Roku bringt Streaming-Gerät für 30 Euro

    Die Fire-TV-Sticks von Amazon bekommen Konkurrenz. Roku kommt nach langer Wartezeit mit seinen Streaming-Geräten nach Deutschland.

  3. Diablo 2 Resurrected im Test: Der dunkle Fürst der Zeitfresser ist auferstanden
    Diablo 2 Resurrected im Test
    Der dunkle Fürst der Zeitfresser ist auferstanden

    Gelungene Umsetzung für Konsolen, überarbeitete Grafik und Detailverbesserungen: Bei Diablo 2 Resurrected herrscht Lange-Nacht-Gefahr.
    Von Peter Steinlechner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /