Tausende Confluence-Server wurden immer noch nicht gepatcht. Das US-Cybercom warnt vor der Sicherheitslücke, die inzwischen schon massenhaft ausgenutzt wird.

Die vor zwei Wochen gepatchte Sicherheitslücke in der Wiki-Software Confluence wird inzwischen massenhaft ausgenutzt, schreibt die US-Militärorganisation Cybercom in einer öffentlichen Warnung. Die Sicherheitslücke erlaube es, eigenen Code auf angegriffenen Servern auszuführen.

“Die massenhafte Ausnutzung von Atlassian Confluence CVE-2021-26084 ist im Gange und wird voraussichtlich noch zunehmen. Bitte patchen Sie sofort, wenn Sie es noch nicht getan haben”, teilte US Cybercom am Freitag vor dem Labor Day in einem Tweet mit.

Der Confluence-Hersteller Atlassian hatte am 25. August einen Hinweis auf die Sicherheitslücke (CVE-2021-26084) veröffentlicht und sie mit den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0 behoben. Betroffen sind nur die Nutzer von selbst gehosteten Confluence-Servern, nicht die der Cloud-Variante. Atlassian selbst nennt die Sicherheitslücke “kritisch”.

Das Problem steckte in der OGNL-Implementierung

Bei der Schwachstelle handelt es sich um einen Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass letztlich beliebiger Code auf dem attackierten Server ausgeführt werden kann. Meist ist zur Ausnutzung der Lücke zwar eine Authentifizierung nötig, aber in Ausnahmefällen gibt es diese Einschränkung nicht.

Deshalb hatten mehrere Sicherheitsforscher einen Proof-of-Concept-Code veröffentlicht, der zeigt, wie die Sicherheitslücke ausgenutzt werden kann. “Am 31. August identifizierte Censys 13.596 verwundbare Confluence-Instanzen, während diese Zahl am 02. September auf 11.689 verwundbare Instanzen gesunken ist”, veröffentlichte die Sicherheitsfirma Censys in einem Blogeintrag. Am 5. September seien es noch 8.597 gewesen.