Op 2 en 3 juni 2022 is informatie gepubliceerd over een kwetsbaarheid in Confluence producten van Atlassian, waarmee aanvallers volledige toegang kunnen krijgen tot machines en mogelijk achterliggende netwerkcomponenten. Confluence wordt door organisaties onder andere gebruikt als web-gebaseerde wiki- en informatieplatform.
Welke mogelijke impact heeft deze Confluence kwetsbaarheid?
Als een aanvaller in staat is om de kwetsbaarheid succesvol uit te buiten, kan dit leiden tot het uitvoeren van ongeautoriseerde code op de getroffen systemen. Dit kan mogelijk erin resulteren dat de server en de aanwezige data gecompromitteerd raakt. Deze aanval kan uitgevoerd worden vanaf het internet, waarbij geen authenticatie vereist is.
Vanuit een gecompromitteerde server kan een aanvaller mogelijk toegang verkrijgen tot de machine en mogelijk tot de rest van het netwerk. Dit kan leiden tot het ontvreemden van (persoons)gegevens, ransomware of andere soorten malware. Om deze reden is de CVSS-score van de kwetsbaarheden
geclassificeerd als kritiek.
Hoe is de Confluence kwetsbaarheid te detecteren?
Een bekende methode om vast te stellen of malafide verbindingsverzoeken zijn binnengekomen op uw omgeving is in de pdf per OS beschreven, onderverdeeld in Linux en Microsoft Windows.
Is er een actieplan wat uw organisatie kan volgen?
Het is belangrijk voor uw organisatie om tenminste de volgende stappen te nemen:
- Controleer de publiek beschikbare Indicators-of-Compromise (IoCs) op uw systemen om vast te stellen of u mogelijk gecompromitteerd bent. Of laat extern preventief onderzoek uitvoeren naar uw systemen.
- Voer eventueel beschikbaar gestelde work-arounds uit om waar mogelijk de impact te beperken.
- Bereid uw organisatie voor op de situatie dat er onverwacht patches uitgevoerd dienen te worden (buiten de reguliere update-timeframes) en pas patches gecontroleerd toe volgens de voor uw organisatie gebruikelijke procedure.
- Voer de beschikbare beveiligingsupdates/patches, zodra deze gepubliceerd zijn, direct uit op de systemen en verifieer of de updates daadwerkelijk toegepast zijn. In het geval van externe IT-dienstleverancier: Laat uw leverancier deze handelingen uitvoeren en laat deze handelingen en het resultaat hiervan schriftelijk aan u bevestigen.
Heeft u systemen waarvan het risico groot is (bijvoorbeeld systemen met gevoelige of bijzonder persoonsgegevens)? Zo ja, heeft u mogelijk indicaties dat het systeem niet direct geüpdatet kan worden? Overweeg dan om het systeem tijdelijk uit te schakelen totdat deze geüpdatet kan worden.
Wat moet uw organisatie doen bij mogelijk misbruik?
Als uw organisatie vermoedelijk het slachtoffer is geworden van een aanval, is het dringende advies om onderzoek uit te laten voeren naar de toedracht, in hoeverre aanvallers mogelijk andere systemen hebben gecompromitteerd en welke informatie mogelijk ongeautoriseerd geraadpleegd is.
- Koppel indien mogelijk de getroffen systemen los van het netwerk, maar laat deze aan staan (in verband met eventuele sporen zoals het vluchtige geheugen – RAM);
- Laat de getroffen systemen forensisch onderzoeken; zorg voor adequate back-ups;
- Reset uw wachtwoorden en gebruikersgegevens;
- Doe aangifte bij de Politie;
- Overweeg een melding te doen bij de Autoriteit Persoonsgegevens.
Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams
(CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.
Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.
Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams (CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.
Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen. Hier vindt u meer informatie over onze Incident Response dienst.
Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.
