CVE-2022-26134 – Kritische Sicherheitslücke in Confluence Server und Data Center

+++Update: Die Fixversionen, welche Atlassian am Abend des 03. Juni 2022 veröffentlichte, wurden in den nachfolgenden Text eingepflegt. Die Handlungsempfehlung einer WAF-Regel wurde entfernt.

Die als CVE-2022-26134 erfasste kritische Sicherheitslücke wurde von Atlassian am 03. Juni 2022 veröffentlicht und betrifft alle Confluence Data Center- und Server-Instanzen, welche ohne weitere Sicherheitsstufen wie VPN oder Virtual Desktop erreichbar sind. Diese Schwachstelle ermöglicht eine nicht authentifizierte Remotecodeausführung.

Diese Art Schwachstelle ist gefährlich, da Angreifer Befehle ausführen und ohne Anmeldeinformationen die vollständige Kontrolle über ein anfälliges System erlangen können, solange es möglich ist, Webanfragen an das Confluence Server-System zu stellen. Es handelt sich bei CVE-2022-26134 um eine weitere Sicherheitslücke zur Befehlsinjektion. Diese Sicherheitslücke ist schwerwiegend und erfordert Ihre Aufmerksamkeit.

Welche Systeme sind betroffen? 

Es sind alle aktuellen Confluence Data Center und Server Versionen betroffen. Atlassian Cloud Seiten sind nicht betroffen.

Schwere der Sicherheitslücke 

Atlassian stuft den Schweregrad dieser Schwachstelle als kritisch ein, diese Sicherheitslücke ist demnach im höchsten Schweregrad eingestuft. Für das in diesem Blog-Post beschriebene Problem gibt es derzeit keinen Patch oder Fix.

Ihre nächsten Schritte  

Es wird nachdrücklich ein Update auf die aktuelle Long Term Support(LTS)-Version  oder eine der folgenden Confluence Data Center oder Server Versionen empfohlen:

Zu Ihren möglichen Handlungsoptionen gehören: 

  • 7.4.17
  • 7.13.7
  • 7.14.3
  • 7.15.2
  • 7.16.4
  • 7.17.4
  • 7.18.1

Sollte ein Upgrade zum aktuellen Zeitpunkt für Sie nicht möglich sein, ist ein temporärer Workaround hier zu finden.

Wenden Sie sich für konkrete Rückfragen gerne an Ihre/-n SVA-Vertriebsbeauftragte/-n oder für Sie zuständige/-n Mitarbeiter/-in aus unserem Operational Services Team.

Wenden Sie sich für konkrete Rückfragen gerne an Ihre/-n SVA-Vertriebsbeauftragte/-n oder für Sie zuständige/-n Mitarbeiter/-in aus unserem Operational Services Team. 

Weiterführende Links:

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/