Atlassian: Sicherheitslücke in Confluence wird massenhaft ausgenutzt

Tausende Confluence-Server wurden noch nicht gepatcht. Das US-Cybercom warnt vor der Sicherheitslücke, die massenhaft ausgenutzt wird.

Artikel veröffentlicht am ,
Ein Server
Ein Server (Bild: Edgar Oliver/Pixabay)

Eine vor knapp zwei Wochen gepatchte Sicherheitslücke in der Wiki-Software Confluence wird massenhaft ausgenutzt. Das schreibt die US-Militärorganisation Cybercom in einer öffentlichen Warnung. Die Sicherheitslücke ermöglicht es, eigenen Code auf den Servern auszuführen.

Stellenmarkt
  1. SAP PP Berater (m/w/x)
    über duerenhoff GmbH, Raum Göttingen
  2. Softwareentwickler (m/w/d) - Schwerpunkt Visualisierung
    Dorst Technologies GmbH & Co. KG, Kochel am See
Detailsuche

"Die massenhafte Ausnutzung von Atlassian Confluence CVE-2021-26084 ist im Gange und wird voraussichtlich noch zunehmen. Bitte patchen Sie sofort, wenn Sie es noch nicht getan haben", teilte US Cybercom am Freitag vor dem Feiertag Labor Day in einem Tweet mit.

Confluence-Hersteller Atlassian hatte am 25. August einen Hinweis auf die Sicherheitslücke (CVE-2021-26084) veröffentlicht und sie mit den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0 behoben. Betroffen sind nur die Nutzer von selbst gehosteten Confluence-Servern, nicht die der Cloud-Variante. Atlassian selbst spricht von einer "kritischen Sicherheitslücke".

Lücke in der OGNL-Implementierung

Bei der Sicherheitslücke handelt es sich um einen Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass beliebiger Code auf dem Server ausgeführt werden kann. In den meisten Fällen ist zur Ausnutzung der Lücke zwar eine Authentifizierung nötig, jedoch gibt es in Ausnahmefällen diese Einschränkung nicht.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
  2. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    26./27.09.2022, Virtuell
Weitere IT-Trainings

Mehrere Sicherheitsforscher hatten daraufhin einen Proof-of-Concept-Code veröffentlicht, der demonstriert, wie die Sicherheitslücke ausgenutzt werden kann. "Am 31. August identifizierte Censys 13.596 verwundbare Confluence-Instanzen, während diese Zahl am 02. September auf 11.689 verwundbare Instanzen gesunken ist", erklärte die Sicherheitsfirma Censys in einem Blogeintrag. Am 5. September seien es noch 8.597 gewesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
E-Mountainbike Graveler 29 Zoll
Aldi verkauft Mountain-E-Bike von Prophete

Aldi bietet ein sportliches E-Bike für knapp 1.000 Euro an. Das Graveler 29 Zoll ist für unwegsames Gelände und die Stadt gedacht und dabei recht leicht.

E-Mountainbike Graveler 29 Zoll: Aldi verkauft Mountain-E-Bike von Prophete
Artikel
  1. J.R.R. Tolkien: The Embracer Group kauft Der Herr der Ringe
    J.R.R. Tolkien
    The Embracer Group kauft Der Herr der Ringe

    Bis auf die Buchrechte gehört Der Herr der Ringe künftig zu The Embracer Group. Nebenbei kauft der Publisher mal wieder ein paar Spielestudios.

  2. Smartphones: Samsung senkt Absatzziel erneut
    Smartphones
    Samsung senkt Absatzziel erneut

    In der aktuellen wirtschaftlichen Lage der Welt kann Samsung offenbar auch nicht an den bereits reduzierten Zielen festhalten.

  3. Softwareupdate: Falsches 5G-Icon im LTE-Netz von O2 Telefónica
    Softwareupdate
    Falsches 5G-Icon im LTE-Netz von O2 Telefónica

    Plötzlich zeigten Basisstationen im gesamten Nordosten Deutschlands 5G an. Doch die Ursache war nur ein fehlerhaftes Software-Update von Telefónica.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 10%-Gaming-Gutschein bei eBay • Grafikkarten zu Tiefpreisen (Palit RTX 3090 Ti 1.391,98€, Zotac RTX 3090 1.298,99€, MSI RTX 3080 Ti 1.059€) • PS5 bei Amazon • HP HyperX Gaming-Maus 29€ statt 99€ • MindStar (ASRock RX 6900XT 869€) • Bester 2.000€-Gaming-PC [Werbung]
    •  /