Confluence mit kritischer Sicherheitslücke: Angreifer können Server übernehmen [+ Demo]

In letzter Zeit hatten wir öfters hier auf TechnikNews über Sicherheitslücken berichtet – war es vor ein paar Wochen erst Exchange, nun gibt es schon die nächste. Dieses Mal trifft es die Wiki-Software Confluence von Atlassian. Durch eine kritische Sicherheitslücke kann der komplette Server im Vollzugriff (möglicherweise sogar als root) übernommen werden. Admins sollten schnellstmöglich aktiv werden.

Zugegeben – wir sind etwas spät dran: Die Sicherheitslücke ist bereits seit 25. August 2021 öffentlich. In Recherchen haben wir nun nach knapp zwei Wochen weiterhin zahlreiche, ungepatchte Server gefunden. Somit sehen wir uns in der Verantwortung, hier in Form eines Artikels nachzuliefern. Bei Atlassian selbst stuft man die Lücke (CVE-2021-26084) als kritisch ein – Angreifer nutzen sie bereits aktiv aus.

Welche Versionen von Confluence sind betroffen?

Sehr viele Versionen von Confluence haben diese Lücke mit an Board. Konkret geht es um die Versionsnummern 4.x.x, 5.x.x, 6.x.x und 7.x.x bis 7.12.x – hierbei ist irrelevant, ob die Variante Server oder Data Center eingesetzt wird. Speziell nicht betroffen sind die Versionsnummern 6.13.23, 7.4.11, 7.11.6, 7.12.5, 7.13.0 und alle nun folgenden Versionen. Laut dem betreffenden Jira-Ticket CONFSERVER-67940 wurde die Lücke bereits mit Ende Juli 2021 gemeldet.

Aktuelles Update einspielen oder Notfallpatch nutzen

Ein Update von Confluence kann oftmals zeitaufwendig sein. Aus diesem Grund stellt Atlassian ein Script (Linux/Windows) zum Patch genau dieser Lücke bereit. Dieses wird heruntergeladen, anschließend muss optional der Installationspfad von Confluence angepasst werden, danach der Patch eingespielt. Eine weitere Möglichkeit ist direkt das Update auf Confluence 7.13.0, welches bereits gepatcht ist. Wir zeigen im folgenden Schritt-für-Schritt, wie der Workaround bzw. schnelle Patch eingespielt wird. Atlassian stellt hierfür ebenfalls diese Anleitung zur Verfügung.

Confluence auf Linux

1. Confluence herunterfahren
2. cve-2021-26084-update.sh Script herunterladen
3. Heruntergeladenes Script editieren und INSTALLATION_DIRECTORY setzen:

   INSTALLATION_DIRECTORY=/opt/atlassian/confluence

4. Ausführberechtigung geben:

   chmod 700 cve-2021-26084-update.sh

5. Mit Nutzer ausführen, dem auch das Installationsverzeichnis gehört – folgender Befehl liefert den Owner des Installationspfads:

   ls -l /opt/atlassian/confluence | grep bin

6. Sollte als Nutzer beispielsweise „confluence“ angeführt sein, auf diesen wechseln:

   sudo su confluence

7. Script ausführen:

   ./cve-2021-26084-update.sh

8. Nun sollte „Update completed!“ erscheinen
9. Dienst wieder starten

Confluence auf Windows

1. Confluence herunterfahren
2. cve-2021-26084-update.ps1 Script herunterladen
3. Heruntergeladenes Script editieren und INSTALLATION_DIRECTORY setzen:

   $INSTALLATION_DIRECTORY='C:\Program Files\Atlassian\Confluence'

4. Windows PowerShell als Administrator öffnen und Script ausführen:

   Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile -

5. Nun sollte „Update completed!“ erscheinen
6. Dienst wieder starten

Hacker können Confluence übernehmen – nicht nur das

Sollte man bislang noch nicht aktualisiert haben, steht das Tor bereits seit zwei Wochen komplett offen. Somit könnte es bereits zu spät sein. Lässt man Confluence noch dazu als root-Nutzer laufen, könnte ein Angreifer bereits den kompletten Server (auch unbemerkt) übernommen haben. Laufen auf diesem dann weitere Dienste neben der Wiki-Software, kann auf diese problemlos zugegriffen werden. Wer das Tool abgeschottet alleine in einem Container laufen lässt, hat bessere Karten.

So sieht die Übernahme des Servers durch einen Angreifer aus

Wir haben in unseren Recherchen zahlreiche, weiterhin ungepatchte (!) Installationen gefunden. Hier konnten wir in allen Fällen problemlos Zugang erhalten und haben alle Betreiber dieser Installationen – selbstverständlich ohne Schaden auf den Servern anzurichten – gleich kontaktiert. Theoretisch hätten wir Dateien löschen, erstellen, nachladen und auf andere Ordner außerhalb der Wiki-Software zugreifen können. Das Problem hierbei: fast alle Installationen hatten keinen dedizierten Nutzer zur Ausführung von Confluence angelegt, sondern haben die Software – wohl als Bequemlichkeit – einfach als root laufen lassen. Ein Beispiel, was ein Angreifer auf einer ungesicherten Confluence-Instanz so alles sieht:

Vollzugriff als root-Nutzer auf einem von uns „besuchtem“ Confluence-System. (Bild: TechnikNews/Screenshot)

Wären wir hier ein potenzieller Angreifer gewesen, hätten wir hier mit wenigen Befehlen viel Blödsinn anrichten können. Admins sollten also schnellstmöglich aktiv werden – ein nicht gepatchter Server ist nahezu dasselbe, als würde man direkt einen Server-Login ins Internet stellen.

Empfehlungen für Dich

• Kritische Confluence Sicherheitslücke: IT-Admins sollten schnell handeln
• EZVIZ C6 AI Indoor Kamera im Test: Was kann die smarte Überwachungskamera?
• Microsoft Exchange Server Sicherheitslücken: Aktuelle Build-Nummern, Übersicht aller Updates und Prüfung
• Dynatrace im Test: Server- & Website-Monitoring leicht gemacht