BI.ZONE WAF защищает от новой уязвимости в Confluence

В конце мая стало известно о новой уязвимости CVE‑2024‑21683 в Confluence Data Center and Server. Специалисты BI.ZONE WAF оперативно разработали правило для обнаружения нелегитимной активности и предотвращения эксплуатации уязвимости со стороны злоумышленников

27 мая 2024 г.

Обнаруженная ошибка в логике работы Confluence позволяет злоумышленнику выполнить произвольный программный код и получить доступ к серверу веб‑приложения. Это оказывает значительное влияние на конфиденциальность, целостность и доступность информации пользователей вики‑системы. Информация об уязвимости появилась 21 мая, а уже к 23 мая было доступно минимум три примера эксплуатации (PoC).

Специалисты BI.ZONE WAF разработали правило, которое обнаруживает семантику языков программирования в передаваемых пользователем данных, например Runtime.getRuntime().exec() в Java. Аномальные запросы блокируются, чтобы не дать атакующему выполнить произвольный программный код на сервере Confluence.

Ошибку оценили в 8,3 балла из 10 по шкале CVSS. Для RCE‑атаки на уязвимый сервер злоумышленник должен быть аутентифицирован. Однако уже сейчас известны пять различных векторов атак, где CVE‑2024‑21683 используется в связке с техниками обхода аутентификации.

Confluence — одно из популярных приложений, которое привлекает внимание злоумышленников. По нашим данным, на него приходится 21% веб‑атак по итогам первой трети 2024 года. Поэтому защита от новой уязвимости важна для поддержания безопасности вики‑системы. Если сейчас у компании нет возможности обновить Confluence Data Center and Server до последней версии, BI.ZONE WAF позволит надежно защитить вики‑систему от подобных атак.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности BI.ZONE

Уязвимость исправлена в LTS‑версиях 8.5.9 и 7.19.22, а также в версии Confluence Data Center 8.9.1. Подвержены уязвимости более ранние версии: 8.9.0; 8.8.0 и 8.8.1; 8.7.1 и 8.7.2; с 8.6.0 по 8.6.2; с 8.5.0 по 8.5.8 (LTS); с 8.4.0 по 8.4.5; с 8.3.0 по 8.3.4; с 8.2.0 по 8.2.3; с 8.1.0 по 8.1.4; с 8.0.0 по 8.0.4; с 7.20.0 по 7.20.3; с 7.19.0 по 7.19.21 (LTS).

Другие наши команды также разработали специализированные правила: аналитики BI.ZONE TDR — правила корреляции, которые позволяют обнаружить постэксплуатацию уязвимости; специалисты анализа защищенности сервиса BI.ZONE CPT — правила обнаружения CVE‑2024‑21683 в рамках активного сканирования.