Atlassian warnt vor einer Zero Day in Confluence, die bereits aktiv ausgenutzt wird. Mit ihr soll eine Remote Code Execution (RCE) ohne Authentifizierung möglich sein. Atlassian rät die Confluence-Instanzen aus dem Netz zu nehmen oder die Server auszuschalten, bis ein Patch zur Verfügung steht.

Atlassian hat die Sicherheitslücke (CVE-2022-26134) in Confluence Server 7.18.0 bestätigt, geht aber auch davon aus, dass Version 7.4.0 und höher ebenfalls betroffen sind. Firmen und Organisationen, welche die Atlassian-Cloud benutzen (atlassian.net), sind von der Sicherheitslücke nicht betroffen.

Entdeckt hatte die Lücke die Sicherheitsfirma Volexity am vergangenen Wochenende bei einem Angriff auf einen Kunden und meldete sie anschließend am 31. Mai an Atlassian. Demnach installierten Angreifer über die Sicherheitslücke eine Webshell auf dem Server des Kunden. Die Sicherheitsfirma geht davon aus, dass mehrere Gruppen aus China die Zero Day nutzen.

"Atlassian arbeitet mit höchster Priorität an der Herausgabe eines Fixes", erklärte der Confluence-Hersteller in einem Advisory. Bis dahin sollen die Administratoren entweder den Zugriff auf die Confluence-Server oder die Rechenzentrumsinstanzen einschränken oder abschalten.

Auch CISA warnt vor Confluence-Sicherheitslücke

Auch die US-amerikanische Cyber Security and Information Security Agency (CISA) warnt vor der Sicherheitslücke und fordert die Bundesbehörden auf, den gesamten Internetverkehr zu Confluence-Servern bis spätestens 3. Juni zu blockieren.

Erst im April hatte Atlassian mit einem mehrwöchigen Ausfall seiner Cloud-Dienste zu kämpfen. Tools wie Jira und Confluence waren nicht verfügbar. Ursache war ein fehlerhaft geschriebenes Skript. Dieses nahm IDs von einzelnen Apps oder ganzen Sites an und löschte diese ohne eine zweite Nachfrage. Das wurde allerdings erst später klar: In einem zuvor laufenden Testrun wurden nämlich 30 Sites ohne Probleme bearbeitet.