Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Update: Schwachstellen in Atlassian Confluence ausgenutzt

- Warnmeldung

Der Hersteller Atlassian warnt vor zwei kritischen Sicherheitslücken in seiner Wiki-Software Confluence. Über eine der Lücken greifen Hacker seit Mitte September an. Die andere Schwachstelle nutzen Infiltrierende seit Ende Oktober aus. Atlassian bietet Mitigationsmaßnahmen an sowie Updates, um die Lücken zu schließen.
Gelbe Symbole Schloss, Laptop, Haus mit Mensch im Hintergrund_

© Adobe Stock

Die Warnmeldung wurde am 10. November 2023 aufgrund weiterführender Informationen aktualisiert. 

Sicherheitslücken in Confluence Data Center und Server

Atlassian warnt vor den kritischen Schwachstellen CVE-2023-22515 und CVE-2023-22518 in seinen Produkten Confluence Data Center und Confluence Server. Durch diese Lücken können Angreifende aus der Entfernung unautorisierte Administratorkonten erstellen. Damit können Hacker alle administrativen Aktionen auf Confluence-Instanzen ausführen. Darüber informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in zwei Cyber-Sicherheitswarnungen. 

Betroffene und gepatchte Versionen

In einem Advisory listet Atlassian die von CVE-2023-22515 betroffenen Produktversionen. Nicht betroffen sind Versionen unter dem Patch-Stand von 8.0.0 und direkt von Atlassian Cloud gehostete Instanzen, zu erkennen an atlassian.net im Domain-Namen. 

Folgende Produktversionen schließen die Schwachstelle:

  • 8.3.3 oder höher
  • 8.4.3 oder höher
  • 8.5.2 oder höher

CVE-2023-22518 betrifft hingegen, laut Hersteller, alle Versionen von Confluence Data Center und Confluence Server. Nicht betroffen sind ebenfalls direkt von Atlassian Cloud gehostete Instanzen, zu erkennen an atlassian.net im Domain-Namen.

Folgende Produktversionen schließen die Sicherheitslücke:

  • 7.19.16
  • 8.3.4
  • 8.4.4
  • 8.5.3
  • 8.6.1

Hacker nutzen Lücken bereits – Atlassian hilft

Laut Microsoft Threat Intelligence verwendet die Hackergruppierung Storm-0062 APT, auch DarkShadow oder Oro0lxy genannt, CVE-2023-22515 seit dem 14. September. Weiter meldet Atlassian, dass Infiltrierende auch über CVE-2023-22518 seit Ende Oktober angreifen. 

Confluence-Administratoren und Confluence nutzende Organisationen sollen prüfen, ob ihr System schon vor Oktober 2023 kompromittiert wurde. Hierzu stellt Atlassian Indikatoren bereit, mit denen sich eine Kompromittierung des Systems feststellen lässt.

Außerdem bietet der Hersteller Mitigationen und Updates zu den Schwachstellen an. Des Weiteren rät Atlassian, Confluence-Instanzen schnellstens zu aktualisieren. Wenn dies nicht möglich ist, sollen Mitigationsmaßnahmen unmittelbar umgesetzt werden. 

Angriffe auf Confluence weiten sich wahrscheinlich aus

Da Atlassian Confluence weit verbreitet ist und eine Instanz mitunter viele vertrauliche Daten enthält, ist die Wiki-Software ein beliebtes Angriffsziel. Deshalb vermutet das BSI eine Ausweitung der Angriffe auf die Confluence-Produkte Data Center und Server, besonders wenn eine Instanz aus dem Internet erreichbar ist.

Zudem mahnt das BSI, vor allem öffentlich zugängliche Instanzen der Produkte umgehend zu prüfen und Maßnahmen zu ergreifen. 

Ergänzend enthalten die BSI-Sicherheitsmeldungen weitere Handlungsempfehlungen für Betroffene, deren System kompromittiert ist.

Ausführliche Informationen