Система Обнаружения Вторжений UserGate детектирует атаки, связанные с нашумевшей уязвимостью в Atlassian Confluence

Дата публикации:

Центр Мониторинга и реагирования UserGate добавил в Систему Обнаружения Вторжений UserGate (IDPS) новую сигнатуру, позволяющую детектировать атаки, использующие нашумевшую уязвимость в продуктах компании Atlassian.

В конце августа разработчики Atlassian выпустили исправление для уязвимости в Confluence. CVE-2021-26084 позволяет неаутентифицированному злоумышленнику удаленно выполнять команды на уязвимом сервере. Проблема представляет опасность для следующих версий Confluence Server и Data Center:

  • Все 4.x.x версии.
  • Все 5.x.x версии.
  • Все 6.0.x версии.
  • Все 6.1.x версии.
  • Все 6.2.x версии.
  • Все 6.3.x версии.
  • Все 6.4.x версии.
  • Все 6.5.x версии.
  • Все 6.6.x версии.
  • Все 6.7.x версии.
  • Все 6.8.x версии.
  • Все 6.9.x версии.
  • Все 6.10.x версии.
  • Все 6.11.x версии.
  • Все 6.12.x версии.
  • Все 6.13.x версии до 6.13.23.
  • Все 6.14.x версии.
  • Все 6.15.x версии.
  • Все 7.0.x версии.
  • Все 7.1.x версии.
  • Все 7.2.x версии.
  • Все 7.3.x версии.
  • Все 7.4.x версии до 7.4.11.
  • Все 7.5.x версии.
  • Все 7.6.x версии.
  • Все 7.7.x версии.
  • Все 7.8.x версии.
  • Все 7.9.x версии.
  • Все 7.10.x версии.
  • Все 7.11.x версии до 7.11.6.
  • Все 7.12.x версии до 7.12.5.

Уязвимость не представляет опасности для пользователей Confluence Cloud.

После того, как нашедший уязвимость исследователь опубликовал отчет и PoC-эксплоит, злоумышленники начали активно сканировать сеть в поисках уязвимых серверов Confluence. Уязвимость получила рейтинг CVSSv3.1 9,8.

Система Обнаружения Вторжений (СОВ) в составе UserGate NGFW детектирует и блокирует сеансы, связанные с этой уязвимостью автоматически.

Специалисты Центра Мониторинга и реагирования UserGate рекомендуют пользователям Atlassian Confluence Server и Data Center предпринять одно из следующих действий:

  • Обновить ПО до последней версии 7.13.0.
  • Проверить актуальность подписки на модуль Security Updates. При использовании профиля сигнатур UserGate, все новые сигнатуры начинают работать автоматически.
  • Создать правило СОВ с новой сигнатурой Atlassian Confluence Remote Code Execution, если используется собственный профиль сигнатур.