Atlassian đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Máy chủ và Trung tâm dữ liệu (Data Center) Confluence có thể dẫn đến việc “mất dữ liệu đáng kể nếu bị kẻ tấn công, không cần xác thực, khai thác”.
Lỗ hổng có định danh CVE-2023-22518, điểm nghiêm trọng CVSS 9,1/10, liên quan đến vấn đề kiểm tra, ủy quyền không chính xác.
Tất cả các phiên bản trước đây của Data Center và Máy chủ Confluence đều bị ảnh hưởng bởi lỗ hổng và lỗ hổng hiện đã được giải quyết trong các phiên bản:
- 19.16 trở lên
- 8.3.4 trở lên
- 8.4.4 trở lên
- 8.5.3 trở lên
- 8.6.1 trở lên
Công ty lưu ý rằng lỗ hổng “không ảnh hưởng đến tính bảo mật vì kẻ tấn công không thể lấy cắp bất kỳ dữ liệu nào trên máy chủ”.
Thông tin chi tiết về lỗ hổng cũng như phương pháp mà kẻ tấn công có thể khai thác lỗ hổng không được tiết lộ để tránh bị các tác nhân đe dạo lạm dụng trong thực tế
Atlassian đang kêu gọi các khách hàng hành động ngay lập tức để bảo mật máy chủ và hệ thống của họ, đồng thời khuyến nghị ngắt kết nối những máy chủ có thể truy cập Internet công cộng cho đến khi bản vá được áp dụng.
Ngoài ra, người dùng đang sử dụng các phiên bản không còn được hỗ trợ nên nâng cấp lên các phiên bản đã được vá. Các trang Atlassian Cloud không bị ảnh hưởng bởi sự cố này.
Mặc dù không có dấu hiệu về việc khai thác lỗ hổng này trong thực tế, nhưng những lỗ hổng được phát hiện trước đây trong phần mềm, bao gồm CVE-2023-22515 mới được tiết lộ gần đây, đã bị các tác nhân đe dọa lạm dụng khai thác.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một nhà nghiên cứu bảo mật đã công bố mã khai thác cho các thiết bị Wyze Cam v3, cho phép tạo một reverse shell và chiếm quyền điều khiển các thiết bị dễ bị tấn công.
Tín nhiệm mạng | Theo các nhà nghiên cứu gian lận tiền điện tử, tin tặc đã đánh cắp 4,4 triệu đô tiền điện tử vào ngày 25 tháng 10 bằng cách sử dụng các khóa bí mật và mật khẩu được lưu trong cơ sở dữ liệu LastPass bị đánh cắp.
Tín nhiệm mạng | Một số ứng dụng Android độc hại trên Google Play, đã có hơn 2 triệu lượt cài đặt, đang lén lút phát tán các quảng cáo không mong muốn đến người dùng trên các thiết bị bị nhiễm.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện ra một kỹ thuật tấn công kênh bên mới được gọi là iLeakage, hoạt động trên tất cả các thiết bị Apple gần đây và có thể trích xuất thông tin nhạy cảm từ trình duyệt web Safari.
Tín nhiệm mạng | F5 đã cảnh báo khách hàng về một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến BIG-IP có thể dẫn đến việc thực thi mã từ xa mà không yêu cầu xác thực.
Tín nhiệm mạng | Lỗ hổng bảo mật nghiêm trọng trong quá trình triển khai Open Authorization (OAuth) cho các dịch vụ trực tuyến phổ biến như Grammarly, Vidio và Bukalapak đã được tiết lộ.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
