In der Zusammenfassung dieser Woche geht es um folgende Themen:
- Atlassian Confluence Data Center & Server Remote Code Execution
- Entfernte Code-Ausführung in Adobe ColdFusion
- OpenSSH weitergeleitete ssh-agent Remote-Code-Ausführung
- AMD "Zenbleed"
CVE-2023-22505 & CVE-2023-22508: Atlassian Confluence Data Center & Server: Entfernte Code-Ausführung
Hintergrund
Confluence, entwickelt von der australischen Softwarefirma Atlassian, ist ein webbasiertes Unternehmens-Wiki für die Zusammenarbeit und den Wissensaustausch in Unternehmen. Ursprünglich im Jahr 2004 veröffentlicht und mit Java entwickelt, hat sich Confluence zu einer vielseitigen Plattform entwickelt, die nahtlose Teamarbeit und Dokumentationsprozesse erleichtert. Mit dem integrierten Tomcat-Webserver und der HSQL-Datenbank bietet Confluence Standalone eine in sich geschlossene Lösung, die auch verschiedene andere Datenbanken unterstützt. Atlassian bietet Confluence als Unternehmenssoftware an, so dass Unternehmen zwischen einer Vor-Ort-Bereitstellung oder einem Software-as-a-Service wählen können.
Schwachstelle
In Confluence Data Center & Server wurden zwei hochgradig gefährliche Schwachstellen für Remote Code Execution (RCE) entdeckt.
Die erste Schwachstelle, bekannt als CVE-2023-22505, wurde in Version 8.0.0 eingeführt und hat laut Confluence-Bewertung einen CVSS-Score von 8, was einem authentifizierten Angreifer die Ausführung von beliebigem Code ermöglicht. Diese Schwachstelle stellt ein hohes Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit dar und ist daher ein kritisches Problem. Außerdem kann der Angreifer diese Schwachstelle ausnutzen, ohne dass eine Benutzerinteraktion erforderlich ist.
Die zweite Sicherheitslücke mit der Bezeichnung CVE-2023-22508 wurde in Version 6.1.0 eingeführt. Mit einem CVSS-Score von 8,5 gemäß der Bewertung von Confluence weist sie ähnliche Merkmale wie die vorherige auf. Ein authentifizierter Angreifer kann ohne Benutzerinteraktion beliebigen Code ausführen, was erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit hat.
Milderung
CVE-2023-22505:
- Aktualisieren Sie Ihre Instanz auf die neueste Version von Confluence Data Center & Server.
- Wenn Sie nicht auf die neueste Version aktualisieren können, aktualisieren Sie auf eine der korrigierten Versionen, insbesondere 8.3.2 oder 8.4.0.
CVE-2023-22508:
- Aktualisieren Sie Ihre Instanz auf eine Confluence-Funktionsversion, die gleich oder größer als 8.2.0 ist (z.B. 8.2, 8.2, 8.4, etc.).
- Alternativ können Sie ein Upgrade auf eine Confluence 7.19 LTS-Bugfix-Version durchführen, die mindestens der Version 7.19.8 entspricht (z. B. 7.19.8, 7.19.9, 7.19.10, 7.19.11 usw.), oder auf eine Confluence 7.13 LTS-Bugfix-Version, die mindestens der Version 7.13.20 entspricht (Release Anfang August verfügbar).
CVE-2023-38205: Umgehung der Zugriffskontrolle von Adobe ColdFusion
Hintergrund
Adobe ColdFusion ist eine vielseitige Java-basierte Plattform zur Entwicklung von Webanwendungen. Sie ermöglicht Entwicklern die Erstellung dynamischer und datengesteuerter Web-Anwendungen durch die nahtlose Integration von serverseitiger Logik und Datenbankinteraktionen in Webseiten unter Verwendung der ColdFusion Markup Language (CFML) gemischt mit HTML.
Schwachstelle
Bei dieser Sicherheitslücke, die als CVE-2023-38205 verfolgt wird, handelt es sich um eine Umgehung eines Patches zur Behebung einer zuvor gepatchten Sicherheitslücke ( CVE-2023-29298 ), die im Sicherheitsbulletin von Adobe behandelt wird. Der ursprüngliche Patch, der am 11. Juli 2023 für CVE-2023-29298 veröffentlicht wurde, hat das Problem nicht erfolgreich behoben und konnte von einem Angreifer umgangen werden. Laut Rapid7 war der Fix für die Schwachstelle zwar korrekt, da er eine gültige URL adressierte, konnte aber dennoch umgangen werden, indem eine ungültige URL angegeben wurde, die den Fix weiterhin umging und den Zugriff auf den erwarteten Endpunkt ohne gültigen URL-Pfad ermöglichte.
Die folgenden Versionen von ColdFusion sind anfällig:
- Adobe ColdFusion 2023 Update 2 und frühere Versionen
- Adobe ColdFusion 2021 Update 8 und frühere Versionen
- Adobe ColdFusion 2018 Update 18 und frühere Versionen
Milderung
Adobe hat am 19. Juli 2023 einen Patch zur Behebung dieser Sicherheitslücke veröffentlicht, der in diesem Advisory enthalten ist. Die Patches sind wie folgt:
- Update 3 für ColdFusion 2023
- Update 9 für ColdFusion 2021
- Update 19 für ColdFusion 2018
CVE-2023-38408: Entfernte Codeausführung in OpenSSHs weitergeleitetem ssh-agent
Hintergrund
Der weitergeleitete ssh-Agent von OpenSSH ist eine Funktionalität, die es Benutzern ermöglicht, ihren ssh-Agenten während SSH-Verbindungen sicher von einem Rechner zum anderen weiterzuleiten. Der ssh-Agent verwaltet private Schlüssel für die Authentifizierung mit öffentlichen SSH-Schlüsseln. Durch die Weiterleitung des Agenten kann der lokale ssh-Agent des Benutzers verwendet werden, um Verbindungen zu entfernten Rechnern zu authentifizieren, wodurch die Notwendigkeit entfällt, private Schlüssel auf diesen Systemen zu speichern.
Schwachstelle
Laut dem von den Qualys-Forschern veröffentlichten Advisory kann sich jeder, der sich bei einem vom Angreifer kontrollierten Host anmeldet und dabei die Weiterleitung des ssh-Agenten nutzt, potenziell für die Remotecodeausführung durch den Angreifer auf dem Rechner (Basis-Host) öffnen, von dem aus er sich bei dem vom Angreifer kontrollierten Host angemeldet hat.
Die Schwachstelle rührt von der Handhabung der weitergeleiteten gemeinsamen Bibliotheken auf dem entfernten Host durch den OpenSSH-Agent her. Wenn der ssh-Agent eines Basis-Hosts mit dem ENABLE_PKCS11-Flag kompiliert ist - was der Standard ist - kann der entfernte Host jede Shared Library in /usr/lib/* des Basis-Hosts laden (dlopen()) und sofort wieder entladen (dlclose()). Dieses Verhalten verträgt sich jedoch nicht mit vielen Shared Libraries, die unbeabsichtigte Nebeneffekte haben können. Durch die Verkettung solcher Nebeneffekte konnten die Forscher Remotecodeausführung auf dem Basishost erreichen. Allerdings beschränkte sich die Reichweite der Forscher auf Ubuntu Desktop 22.04 und 21.10.
Milderung
- Verwenden Sie eine aktualisierte Version der OpenSSH-Bibliothek: 9.3p2
- Die Ausnutzung der Schwachstelle kann verhindert werden, indem die Option ssh-agent forwarding nicht verwendet wird, um eine Verbindung zu Hosts herzustellen, denen der Benutzer nicht vertraut.
CVE-2023-20593: Prozessübergreifendes Informationsleck alias "Zenbleed"
Am 24. Juli 2023 hat AMD eine Sicherheitslücke (CVE-2023-20593) bekannt gegeben, die eine Teilmenge der Akamai Cloud Computing-Hosts mit EPYC "Rome"-CPUs betrifft. Weitere Informationen finden Sie in unserem aktuellen Blogbeitrag über Zenbleed.
Kommentare