Confluence sunucunuzu hemen güncelleyin

Kötü niyetli kişiler, savunmasız Confluence sunucuları arıyor ve bir RCE güvenlik açığı olan CVE-2021-26084’ten yararlanıyor.

Jira, Confluence ve Hipchat gibi araçların ardındaki şirket olan Atlassian, Ağustos ayının sonunda, kurumsal bilgi sayfaları topluluğu (wiki) aracı Confluence’daki CVE-2021-26084 güvenlik açığını düzeltmek için bir güncelleme yayınladığını duyurdu. Söz konusu tarihten bu yana güvenlik uzmanları, savunmasız Confluence sunucularına yönelik bir çok arama ve aktif açıktan yararlanma girişimleriyle karşılaştılar. Tüm Confluence Sunucusu yöneticilerinin mümkün olan en kısa sürede güncellemeyi yapmalarını öneriyoruz.

CVE-2021-26084 nedir?

CVE-2021-26084, Confluence’ın etiket sistemindeki Object-Graph Navigation Language (OGNL) kullanımından kaynaklanan bir güvenlik açığıdır. Güvenlik açığı, OGNL koduna ek yapılmasına ve dolayısıyla Confluence Sunucusu veya Confluence Veri Merkezi’nin yüklü olduğu bilgisayarlarda rasgele kod yürütülmesine izin verir. Bazı durumlarda, kimliği doğrulanmamış bir kullanıcı bile (Kişilerin hesaplarını oluşturmak için kaydolmasına izin ver seçeneği etkinse) güvenlik açığından yararlanabilir.

Bu güvenlik açığı Atlassian tarafından kritik olarak değerlendiriyor. 9,8 CVSS önem derecesine sahip olan güvenlik açığına ilişkin, programın uzaktan kod yürütülmesine (RCE) izin veren bir sürümü de dahil olmak üzere, açıktan yararlanma konusunda bir çok kavram kanıtına şimdiden çevrimiçi olarak ulaşılabiliyor.

Confluence’ın hangi sürümleri güvenlik açığına sahip?

Durum biraz karmaşık. Atlassian’ın müşterileri, Confluence’ın farklı sürümlerini kullanıyor ve güncellemeleri pek de zamanında yaptıkları söylenemez. Atlassian’ın resmi açıklamasına göre şirket, 6.13.23, 7.4.11, 7.11.6, 7.12.5 ve 7.13.0 sürümleri için güncellemeler yayınladı. Bu, önceki Confluence Sunucu sürümlerinden 6.13.23’ün yanında, 6.14.0 ile 7.4.11, 7.5.0 ile 7.11.6 ve 7.12.0 ile 7.12.5 arasındaki sürümleri güvenlik açığından faydanılabilir durumda bırakıyor. Güvenlik açığı Confluence Cloud kullanıcılarını etkilemiyor.

Kendinizi korumanın yolları

Atlassian, en yeni Confluence sürümü olan 7.13.0 kullanılmasını öneriyor. Bu mümkün değilse, sırasıyla 6.13.x sürümü kullanıcılarının 6.13.23’e, 7.4.x kullanıcılarının 7.4.11’e, 7.11.x kullanıcılarının 7.11.6’ya ve 7.12.x kullanıcılarının 7.12.5’e güncellem yapması öneriliyor. Şirket ayrıca, bu kademeli güncellemeleri bile gerçekleştiremeyenler için Linux tabanlı ve Microsoft Windows tabanlı çözümler konusunda birkaç geçici çözüm sunuyor.

Üzerinde Confluence çalışan makineler, diğer sunucular gibi birer uç noktadır. Ve tıpkı diğer sunucularda olduğu gibi, rastgele kod çalıştırılmasını olabildiğince zor hale getirmek için bu makinelerde de iyi bir güvenlik çözümüne ihtiyaç vardır.

Ayrıca, güvenlik açığından uzaktan yararlanmak için saldırganların şirket ağına girmesi gerektiğini ve Yönetilen Tespit ve Yanıt-sınıfı hizmetlere sahip uzmanların bu tür şüpheli etkinlikleri tespit edebileceğini unutmayın. Ayrıca Confluence’a olan erişimin, şirket dışından hiç kimsenin şirket içi hizmetlere erişimi olmayacak şekilde kısıtlanması gerektiğini de belirtmekte fayda var.

İpuçları