Update nu uw Confluence-server

Kwaadwillenden zijn op zoek naar kwetsbare Confluence-servers en benutten hiervoor de RCE-kwetsbaarheid CVE-2021-26084.

Eind augustus kondigde Atlassian, het bedrijf achter tools als Jira, Confluence en Hipchat, de release van een update aan om het CVE-2021-26084-lek in zijn zakelijke wiki-tool Confluence te verhelpen. Sindsdien hebben beveiligingsexperts wijdverspreide zoektochten naar kwetsbare Confluence-servers en actieve exploitatiepogingen gezien. Wij adviseren alle Confluence-serverbeheerders om zo snel mogelijk te updaten.

Wat is CVE-2021-26084?

CVE-2021-26084 is een kwetsbaarheid in Confluence. Het vindt zijn oorsprong in het gebruik van Object-Graph Navigation Language (OGNL) in het tag-systeem van Confluence. De kwetsbaarheid maakt het mogelijk om OGNL-code te injecteren en dus willekeurige code uit te voeren op computers waarop Confluence Server of Confluence Data Center is geïnstalleerd. In sommige gevallen kan zelfs een gebruiker die niet geautoriseerd is de kwetsbaarheid benutten (als de optie Mensen toestaan zich aan te melden om hun account aan te maken actief is).

Atlassian beschouwt dit als een kritieke kwetsbaarheid. Het heeft een CVSS-rating van 9,8 wat betreft de ernst, en verschillende proof-of-concepts om de kwetsbaarheid uit te buiten, waaronder een versie die het op afstand uitvoeren van code (remote code execution of RCE) mogelijk maakt, zijn al online beschikbaar.

Welke versies van Confluence zijn kwetsbaar?

De situatie is enigszins ingewikkeld. De klanten van Atlassian gebruiken verschillende versies van Confluence en staan niet bekend om het tijdig uitvoeren van updates. Volgens de officiële beschrijving van Atlassian heeft het bedrijf updates uitgebracht voor de versies 6.13.23, 7.4.11, 7.11.6, 7.12.5 en 7.13.0. Dat maakt CVE-2021-26084 exploiteerbaar op Confluence Server-versies voorafgaand aan 6.13.23, van 6.14.0 tot 7.4.11, van 7.5.0 tot 7.11.6, en van 7.12.0 tot 7.12.5. Deze kwetsbaarheid is niet van invloed op Confluence Cloud-gebruikers.

Hoe u zich hiertegen beschermt

Atlassian raadt aan de nieuwste Confluence-versie te gebruiken, namelijk 7.13.0. Als dat geen optie is, wordt gebruikers van 6.13.x-versies geadviseerd om te updaten naar 6.13.23; 7.4.x naar 7.4.11, 7.11.x naar 7.11.6, en 7.12.x naar 7.12.5, respectievelijk. Het bedrijf biedt ook sommige tijdelijke workarounds voor Linux-gebaseerde en Microsoft Windows-gebaseerde oplossingen, voor degenen die zelfs die incrementele updates niet kunnen uitvoeren.

Machines waar Confluence op draait zijn eindpunten, net als elke andere server. En net als elke andere server hebben ze een goede beveiligingsoplossing nodig om het draaien van willekeurige code aanzienlijk moeilijker te maken.

Denk er ook aan dat aanvallers het bedrijfsnetwerk moeten binnendringen om de kwetsbaarheid op afstand te kunnen uitbuiten, en experts met Managed Detection and Response -diensten kunnen dat soort verdachte activiteiten detecteren. Het is ook de moeite waard op te merken dat de toegang tot Confluence beperkt moet zijn: niemand buiten het bedrijf mag toegang hebben tot interne bedrijfsdiensten.

Tips