Confluence сочетает в себе мощные возможности создания онлайн-документов, тесной интеграции с Microsoft Office для того чтобы помочь людям лучше работать вместе, обмениваться информацией и накапливать знания. Confluence используют как портал, систему управления знаниями и документацией.
Atlassian Confluence — прикладное приложение для управления корпоративным контентом, предназначенное для накопления и обмена информацией в пределах компании или группы компаний. Может использоваться для организации общедоступных баз знаний, внешних и внутренних справочно-информационных порталов, и ресурсов для работы с документацией, ведения блогов и веб-публикаций, включая публикации отчетов; управления знаниями и документирования бизнес-процессов.
Является универсальной, значительно расширенной по сравнению с программными продуктами данного класса платформой, набор функций которой позволяет использовать решение для организации электронного документооборота компании. Приложение создано австралийской компанией Atlassian Software Systems.
2023: опасная уязвимость Atlassian Confluence эксплуатируется вымогателями.
ФСТЭК предупреждает о появлении новой опасной уязвимости в веб-сервере Atlassian Confluence Server и центре обработки данных Confluence Data Center. Уязвимость, которая получила код BDU:2023-07453 (CVE-2023-22518), связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии. Уровень опасности уязвимости по CVSS обозначен как 9.1 из 10.
Atlassian Confluence активно использовался российскими компаниями несколько лет назад, однако сейчас эти системы остались без обслуживания – компания Atlassian прекратила свою работу на территории России. В то же время продукты компании до сих пор остались и работают. Так по данным сервиса Netlas.io количество уязвимых к указанной уязвимости серверов на территории России составляет 1242, что достаточно много для возможного нападения для них. Причем, больше таких серверов только в Германии (3112) и США (2500).
Компании, которые занимаются мониторингом вредоносной активности в Интернет, обнаружили использование эксплойтов, нацеленных на новую уязвимость. В частности, в отчетах GreyNoise появился целый раздел, посвященный ей, правда, пока количество зафиксированных атак не очень большое. Также свой отчет по эксплуатации этой уязвимости опубликовала в своем блоге и компания Rapid7. Причем в качестве первых пользователей этой уязвимости указываются вымогатели, в частности, из группы Cerber (она же CerberImposter).
В связи с этим ФСТЭК рекомендует установку обновлений из доверенных источников (производитель таковым не является) или реализацию компенсирующих мер, направленных в основном на отключение уязвимых серверов от сети Интернет: создание резервной копии своего экземпляра программного средства с настройками и данными; ограничение доступа к программному обеспечению из внешних сетей (Интернет); использование виртуальных частных сетей для организации удаленного доступа (VPN). По данным Atlassian ошибка исправлена в версиях Confluence Data Center and Server 7.19.16, 8.3.4, 8.4.4, 8.5.3 и 8.6.1. Также на сайте производителя опубликованы временные меры защиты, которые можно применить в случае, если обновления не доступны.
2024: новая опасная уязвимость Atlassian Confluence, она позволяет угнать сервер без аутентификации.
ФСТЭК в середине января 2024 года предупредила об обнаружении еще одной опасной уязвимости BDU:2024-00325 в веб-сервере Atlassian Confluence Server и дата-центре Confluence Data Center, которая позволяет дистанционно выполнить посторонний код неавторизованному пользователю и с его помощью перехватить управление им. Уязвимость также получила наивысший бал опасности по CVSS – 10 из 10.
Уязвимость позволяет постороннему нарушителю, действующему удалённо, выполнить произвольный код в контексте сервера путём внедрения специально сформированного шаблона с вредоносным кодом причем без проведения процедуры аутентификации. Ошибка присутствует в версиях Confluence 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x и 8.5.0–8.5.3, но отсутствует в 7.19.x LTS.
Сама Atlassian рекомендует переходить на версии 8.5.4, 8.5.5 (Confluence Data Center and Server), 8.6.0, 8.7.1 и 8.7.2 (Confluence Data Center), в которых проблема уже была решена.
При этом фиксируются попытки эксплуатации данной уязвимости и первые эксплойты для нее. Пока, впрочем, есть сведения только об успешной эксплуатации данной уязвимости исследовательской группой Positive Technologies Offensive Team (PT SWARM), а также заявления проекта AttackerKB о начале эксплуатации этой уязвимости хакерами.
Подробный разбор уязвимости был проведен 22 января двумя исследователями Рахулом Майни и Харшем Джайсвал из ProjectDiscovery Research, которые составили тестовый эксплойт для проверки конкретной установки Confluence на наличие указанной уязвимости.
В качестве рекомендаций по устранению опасности можно было бы посоветовать переходить на последние исправленные версии продуктов, однако далеко не всем это доступно. Поэтому можно воспользоваться советами ФСТЭК:
- ограничение доступа к программному средству из общедоступных сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование средств обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвиимости.
Чем же заменить Atlassian Confluence?
В единственном имеющемся в открытых источниках достоверном анализе систем менеджмента знаний – отчете CCGuru, сформированном в конце 2021 года – рассматриваются шесть главных игроков на рынке данного программного обеспечения.
Из этого списка сразу необходимо исключить KMS Lighthouse (израильское решение) и продукт «Масс групп», судя по всем признакам уже приостановившей свою деятельность на территории РФ. Указанные решения, несмотря на их возможные плюсы и опыт на рынке, из-за санкционных рисков не могут быть рекомендованы в качестве альтернативы Confluence.
Таким образом, при всем богатстве выбора достойной заменой продуктам Atlassian могут стать лишь три крупных российских разработки:
- СУЗ Ростелеком
- Minerva Knowledge
- CraftTalk
Все три системы имеют объективные плюсы и минусы, но их глубокий анализ не является предметом данной статьи, потому руководству компаний все же рекомендуется решение принимать самостоятельно, с учетом потребностей и только после глубокого сравнительного анализа возможностей, предлагаемых системами.