Σε επιδιόρθωση μίας κρίσιμης ευπάθειας hardcoded διαπιστευτηρίων στο διακομιστή Confluence και το Κέντρο δεδομένων, που θα μπορούσε να επιτρέψει σε απομακρυσμένους, μη επιβεβαιωμένους εισβολείς να συνδεθούν σε ευάλωτους, μη επιδιορθωμένους διακομιστές, έχει προχωρήσει η Atlassian.
Δείτε επίσης: Ανάλυση της ευπάθειας zero-day στο λογισμικό Atlassian Confluence
Ο κωδικοποιημένος κωδικός πρόσβασης προστίθεται μετά την εγκατάσταση της εφαρμογής Questions for Confluence (εκδόσεις 2.7.34, 2.7.35 και 3.0.2) για λογαριασμό με όνομα χρήστη disabledssystemuser, σχεδιασμένο για να βοηθά τους διαχειριστές με τη μετεγκατάσταση δεδομένων από την εφαρμογή στο Confluence Cloud.
Σύμφωνα με την Atlassian, η εφαρμογή βοηθά στη βελτίωση της επικοινωνίας με την εσωτερική ομάδα Q&A του οργανισμού και είναι επί του παρόντος εγκατεστημένη σε περισσότερους από 8.000 διακομιστές Confluence.
“Ο λογαριασμός disabledssystemuser δημιουργείται με έναν hardcoded κωδικό πρόσβασης και προστίθεται στην ομάδα confluence-users, η οποία επιτρέπει την προβολή και την επεξεργασία όλων των μη περιορισμένων σελίδων εντός του Confluence από προεπιλογή“, εξήγησε η εταιρεία σε μια συμβουλή ασφαλείας που δημοσιεύθηκε την Τετάρτη.
“Ένας απομακρυσμένος εισβολέας χωρίς έλεγχο ταυτότητας με γνώση του κωδικοποιημένου κωδικού πρόσβασης θα μπορούσε να το εκμεταλλευτεί για να συνδεθεί στο Confluence και να αποκτήσει πρόσβαση σε οποιεσδήποτε σελίδες έχει πρόσβαση και η ομάδα χρηστών συνοχής.“
Η Atlassian λέει ότι δεν έχει στοιχεία και δεν έχει λάβει ακόμη αναφορές ότι η ευπάθεια (που παρακολουθείται ως CVE-2022-26138) γίνεται αντικείμενο εκμετάλλευσης.
Δείτε ακόμα: Εγκαταστήστε άμεσα: Κυκλοφόρησε ενημέρωση για το σφάλμα Atlassian Confluence RCE
Οι διαχειριστές που θέλουν να προσδιορίσουν εάν οι διακομιστές τους επηρεάζονται από αυτό το ελάττωμα ασφαλείας ενσωματωμένων διαπιστευτηρίων, πρέπει να ελέγξουν για ενεργό λογαριασμό χρήστη με τις ακόλουθες πληροφορίες:
Χρήστης: disabledssystemuser
Όνομα χρήστη: disabledssystemuser
Email: dontdeletethisuser@email.com
Σε διακομιστές που επηρεάζονται, η απεγκατάσταση της εφαρμογής Questions for Confluence δεν διορθώνει αυτήν την ευπάθεια και δεν θα καταργήσει το διάνυσμα επίθεσης.
Για να διορθώσετε το πρόβλημα μέχρι να εγκαταστήσετε την ενημέρωση, η Atlassian συνιστά την εφαρμογή μιας ενημερωμένης έκδοσης του Questions for Confluence ή την απενεργοποίηση/διαγραφή του λογαριασμού disabledssystemuser.
Η ενημέρωση της εφαρμογής Questions for Confluence σε μια σταθερή έκδοση (εκδόσεις 2.7.x >= 2.7.38 ή εκδόσεις υψηλότερες από 3.0.5) θα σταματήσει τη δημιουργία του προβληματικού λογαριασμού χρήστη και θα τον καταργήσει εάν υπάρχει.
Δείτε επίσης: Atlassian Confluence zero-day: Χρησιμοποιείται ενεργά σε επιθέσεις
Για να απενεργοποιήσετε ή να διαγράψετε τον λογαριασμό, μπορείτε να χρησιμοποιήσετε τα λεπτομερή βήματα που παρέχονται σε αυτό το έγγραφο υποστήριξης.
Για να αναζητήσετε στοιχεία εκμετάλλευσης στους διακομιστές σας, θα πρέπει να ελέγξετε τον τελευταίο χρόνο ελέγχου ταυτότητας για disabledssystemuser ακολουθώντας αυτές τις οδηγίες. Εάν το αποτέλεσμα είναι μηδενικό, σημαίνει ότι ο λογαριασμός υπάρχει στο σύστημα, αλλά κανείς δεν έχει συνδεθεί χρησιμοποιώντας τον.
