Zaszyfrowane hasło Confluence wyciekło na Twitterze

Co jest gorsze niż powszechnie używana aplikacja korporacyjna połączona z Internetem z zaszyfrowanym hasłem? Wypróbuj wspomnianą aplikację korporacyjną po ujawnieniu światu zaszyfrowanego hasła.

Atlassian ujawniony w środę Trzy krytyczne słabości produktuWłącznie z CVE-2022-26138 Wynika z hasła zaszyfrowanego w formacie Pytania do spełnienia, aplikacja, która pozwala użytkownikom szybko uzyskać pomoc w odpowiedzi na najczęściej zadawane pytania dotyczące produktów Atlassian. Firma ostrzegła, że ​​hasło jest „trywialne do zdobycia”.

Firma podała, że ​​w momencie publikacji Pytania dotyczące konwergencji miały 8055 instalacji. Podczas instalacji aplikacja tworzy konto użytkownika Confluence zwane użytkownikiem wyłączonym, które ma pomóc administratorom w przenoszeniu danych między aplikacją a usługą Confluence Cloud. Zaszyfrowane hasło chroniące to konto umożliwia przeglądanie i edycję wszystkich nieograniczonych stron w Confluence.

„Nieuwierzytelniony zdalny atakujący ze znajomością zaszyfrowanego hasła może wykorzystać to do zalogowania się do Confluence i uzyskania dostępu do dowolnych stron, do których może uzyskać dostęp grupa użytkowników Confluence” – powiedziała firma. „Ważne jest, aby natychmiast usunąć tę lukę w zagrożonych systemach”.

Dzień później Atlassian powrócił, aby poinformować, że „strona trzecia odkryła i publicznie ujawniła zaszyfrowane hasło na Twitterze”, co skłoniło firmę do eskalacji ostrzeżeń.

„Ten problem prawdopodobnie zostanie wykorzystany na wolności, teraz, gdy zaszyfrowane hasło jest znane opinii publicznej”, stwierdza zaktualizowany tekst instrukcji. „Ta luka w systemach, których dotyczy problem, musi zostać natychmiast naprawiona”.

Firma ostrzegła, że ​​nawet jeśli aplikacja nie jest aktywnie instalowana w instalacjach Confluence, nadal może być podatna na ataki. Odinstalowanie aplikacji nie usuwa automatycznie luki, ponieważ wyłączone systemowe konto użytkownika nadal istnieje w systemie.

Aby dowiedzieć się, czy system jest zagrożony, Atlassian poradził użytkownikom Confluence, aby poszukali kont z następującymi informacjami:

• użytkownik: zepsuty system
• Nazwa Użytkownika: zepsuty system
• E-mail: [email protected]

Firma Atlassian udostępniła dalsze instrukcje dotyczące lokalizowania tych kont tutaj. Podatność dotyczy wydania Confluence Questions 2.7.xi 3.0.x. Firma Atlassian zaoferowała klientom dwa sposoby rozwiązania problemu: wyłączenie lub usunięcie konta „Wyłączonego użytkownika”. Firma opublikowała również Ta lista odpowiedzi na najczęściej zadawane pytania.

Użytkownicy, którzy szukają dowodów na obecność exploita, mogą sprawdzić czas ostatniego uwierzytelnienia zepsutego użytkownika systemu, korzystając z instrukcji tutaj. Jeśli wynik jest pusty, oznacza to, że konto jest w systemie, ale nikt się nim nie zalogował. Polecenia wyświetlają również wszelkie niedawne próby logowania, które zakończyły się powodzeniem lub niepowodzeniem.

„Teraz, gdy łatki są już dostępne, można oczekiwać, że zespoły zajmujące się łatami i inżynierią wsteczną będą starały się w dość krótkim czasie stworzyć publiczny POC” – napisał w bezpośredniej wiadomości Casey Ellis, założyciel serwisu raportowania luk w zabezpieczeniach Bugcrowd. „Sklepy Atlas powinny natychmiast rozpocząć debugowanie produktów skierowanych do odbiorców, a te znajdujące się za zaporą sieciową tak szybko, jak to możliwe. Komentarze w tekście doradczym zalecające brak filtrowania proxy jako środek łagodzący sugerują, że istnieje wiele ścieżek operacyjnych.”

Pozostałe dwie luki ujawnione w środę przez Atlassian również są poważne i dotyczą następujących produktów:

• Serwer i centrum danych Bamboo
• Serwer Bitbucket i centrum danych
• Serwer konwergencji i centrum danych
• Crowd server i centrum danych
• tygiel
• Oko ryby
• Serwer i centrum danych Jira
• Serwer zarządzania usługami Jira i centrum danych

Te luki są śledzone jako CVE-2022-26136 i CVE-2022-26137, co umożliwia zdalnym i nieuwierzytelnionym hakerom ominięcie filtrów serwletów używanych przez aplikacje własne i zewnętrzne.

„Efekt zależy od tego, jakich filtrów używa każda aplikacja i jak są używane” – firma Powiedział. „Atlassian wydał aktualizacje, które naprawiają główną przyczynę tej luki, ale nie wymienił wyczerpująco wszystkich potencjalnych konsekwencji tej luki”.

Podatne serwery zbieżne zawsze były preferowanym podbojem dla hakerów chcących zainstalować ransomwareA kopacze kryptowaluti inne rodzaje złośliwego oprogramowania. Luki ujawnione przez Atlassian w tym tygodniu są na tyle poważne, że administratorzy powinni nadać priorytet dokładnemu przeglądowi ich systemów, najlepiej przed rozpoczęciem weekendu.