В конце мая стало известно о новой уязвимости CVE-2024-21683 в популярной вики-системе для хранения корпоративных знаний Confluence Data Center & Server.
Специалисты BI.ZONE WAF оперативно разработали правило для обнаружения нелегитимной активности и предотвращения эксплуатации уязвимости со стороны злоумышленников.
Обнаруженная ошибка в логике работы Confluence позволяет злоумышленнику выполнить произвольный программный код и получить доступ к серверу веб-приложения. Это оказывает значительное влияние на конфиденциальность, целостность и доступность информации пользователей вики-системы. Информация об уязвимости появилась 21 мая, а уже к 23 мая было доступно минимум три примера эксплуатации (PoC).
Специалисты BI.ZONE WAF разработали правило, которое обнаруживает семантики языков программирования в передаваемых пользователем данных, например Runtime.getRuntime().exec() в Java. Аномальные запросы блокируются, чтобы не дать атакующему выполнить произвольный программный код на сервере Confluence.
Ошибку оценили в 8,3 балла из 10 по шкале CVSS. Для RCE-атаки на уязвимый сервер злоумышленник должен быть аутентифицирован. Однако уже сейчас известны пять различных векторов атак, где CVE-2024-21683 используется в связке с техниками обхода аутентификации.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE, говорит: «Confluence — одно из популярных приложений, которое привлекает внимание злоумышленников. По нашим данным, на него приходится 21% веб-атак по итогам первой трети 2024 года. Поэтому защита от новой уязвимости важна для поддержания безопасности вики-системы. Если сейчас у компании нет возможности обновить Confluence Data Center & Server до последней версии, BI.ZONE WAF позволит надежно защитить вики-систему от подобных атак».
Уязвимость исправлена в LTS-версиях 8.5.9 и 7.19.22, а также в версии Confluence Data Center 8.9.1. Подвержены уязвимости более ранние версии: 8.9.0; с 8.8.0 по 8.8.1; с 8.7.1 по 8.7.2; с 8.6.0 по 8.6.2; с 8.5.0 по 8.5.8 (LTS); с 8.4.0 по 8.4.5; с 8.3.0 по 8.3.4; с 8.2.0 по 8.2.3; с 8.1.0 по 8.1.4; с 8.0.0 по 8.0.4; с 7.20.0 по 7.20.3; с 7.19.0 по 7.19.21 (LTS).
Другие команды BI.ZONE также разработали специализированные правила: аналитики BI.ZONE TDR — правила корреляции, которые позволяют обнаружить постэксплуатацию уязвимости; специалисты анализа защищенности сервиса BI.ZONE CPT — правила обнаружения CVE-2024-21683 в рамках активного сканирования.
О компании
BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 600 клиентов в 15 странах мира.
