A Atlassian lançou patches urgentes para vários de seus produtos para corrigir vulnerabilidades de execução remota de código (RCE) e negação de serviço (DoS). Falhas nos produtos da Atlassian já foram exploradas por hackers antes, inclusive logo após o lançamento de um patch ou mesmo antes de uma correção estar disponível.
Em outubro, a Atlassian lançou uma correção de emergência para um problema de controle de acesso quebrado (CVE-2023-22515) que afetava versões on-premises do Confluence Server e do Confluence Data que permitiam que invasores não autenticados criassem contas de administrador. A vulnerabilidade já estava sendo explorada como um dia zero quando a empresa lançou o patch.
No início de novembro, invasores começaram a explorar outra vulnerabilidade crítica de autorização imprópria (CVE-2023-22518) no Confluence Data Center e no Server apenas alguns dias após o lançamento do patch. As falhas mais antigas do Confluence que foram exploradas como dias-zero ou n-dias por vários grupos de invasores incluem os CVE-2022-26134, CVE-2021-26084 e CVE-2019-3396. Os clientes são, portanto, orientados a aplicar os patches de dezembro recém-lançados o mais rápido possível.
Uma das vulnerabilidades críticas corrigidas na semana passada permite que invasores autenticados anônimos injetem código inseguro em páginas em instâncias afetadas do Confluence Data Center e do Confluence Server. A Atlassian cataloga essa falha (CVE-2023-22522) como um problema de injeção de modelo e avisa que ela pode levar à execução remota de código no servidor.
A falha afeta todas as versões do Confluence Data Center e Server a partir da 4.0.0, bem como versões autônomas do Confluence Data Center 8.6.0 e 8.6.1. Muitas das versões afetadas chegaram ao fim da vida útil e não são mais suportadas. A empresa aconselha os usuários do Confluence Server a atualizar para a versão 7.19.17 (LTS), 8.4.5 ou 8.5.4 (LTS) e os usuários do Confluence Data Center a atualizar para a versão 8.6.2 ou 8.7.1. A vulnerabilidade não tem outras atenuações, mas a Atlassian aconselha os clientes a fazer backup de sua instância e removê-la da Internet se não puderem corrigir imediatamente.
Outra vulnerabilidade crítica corrigida na semana passada decorre de um problema de desserialização Java herdado de uma biblioteca de análise de terceiros chamada SnakeYAML. Esta vulnerabilidade é rastreada como CVE-2022-1471 e foi corrigida no SnakeYAML há um ano. Desde então, outras três falhas, duas de alta gravidade e uma crítica, foram relatadas em SnakeYAML.
Não está claro por que a Atlassian está publicando apenas um comunicado agora, mas a lista de produtos afetados é extensa. Ela inclui:
- Automação para o aplicativo Jira (incluindo a edição Server Lite)
- Centro de Dados Bitbucket
- Servidor Bitbucket
- Confluence Data Center
- Servidor de Confluência
- Aplicativo de migração para nuvem do Confluence
- Jira Core Data Center
- Servidor Jira Core
- Data Center de gerenciamento de serviços Jira
- Servidor de Gerenciamento de Serviços Jira
- Centro de Dados Jira Software
- Servidor de software Jira
Algumas implantações do Jira só serão afetadas se uma versão vulnerável do aplicativo Automation for Jira (A4J) também estiver instalada. Enquanto isso, as instâncias do Confluence são afetadas se executarem uma versão vulnerável do aplicativo Confluence Cloud Migration Assistant (CCMA). Este aplicativo é instalado por padrão. A Atlassian fornece mais informações sobre cada produto afetado e os cenários em que eles estão vulneráveis em um documento de perguntas frequentes que acompanha o comunicado.
Veja isso
Falha crítica da Atlassian é explorada por ransomware
Atlassian corrige bug crítico no Jira Service Management Server
Outra execução remota de código (CVE-2023-22523) foi corrigida na ferramenta Assets Discovery que pode ser usada com o Jira Service Management Cloud, o Jira Service Management Server e o Jira Service Management Data Center. O Assets Discovery (anteriormente conhecido como Insight Discovery) é uma ferramenta autônoma que pode ser instalada a partir do Atlassian Marketplace e é usada para verificar a rede local em busca de ativos de hardware e software e coletar informações sobre eles.
A Atlassian aconselha os clientes a desinstalar os agentes do Assets Discovery, aplicar o patch do Assets Discovery e reinstalar os agentes. O Jira Service Management Cloud, a empresa incentiva os usuários a implantar o Assets Discovery 3.2.0-cloud ou posterior e, para o Jira Service Management Data Center e Server, o Assets Discovery 6.2.0 ou posterior.
Para mais informações sobre os patches para várias falhas em produtos da Atlassian clique em CVE-2023-22515,CVE-2023-22518, CVE-2023-22522 .