Avustralyalı yazılım firması Atlassian, müşterileri, uzaktan saldırganlara takılmamış Confluence Server ve Veri Merkezi sunucularına giriş yapmak için sert kodlanmış kimlik bilgileri sağlayan kritik bir güvenlik açığını hemen yamaları konusunda uyardı.
Şirketin bu hafta açıkladığı gibi, Confluence uygulaması için sorular (8.000'den fazla sunucuda yüklü), yöneticilerin verileri uygulamadan Confluence bulutuna taşımasına yardımcı olmak için sabit kodlanmış bir şifre ile bir engelli sektör hesabı oluşturur.
Güvenlik açığını ele almak için güvenlik güncellemelerini yayınladıktan bir gün sonra (CVE-2022-26138 olarak izlendi) Atlassian, sert kodlanmış şifrenin bulunduğu ve çevrimiçi olarak paylaşıldığı göz önüne alındığında, yöneticileri mümkün olan en kısa sürede sunucularını düzeltti.
"Harici bir taraf, Twitter'da sabit kodlanmış şifreyi keşfetti ve kamuya açıkladı. Etkilenen sistemlerde bu güvenlik açığını derhal düzeltmek önemlidir." Şirket Perşembe günü uyardı.
Diyerek şöyle devam etti: "Bu sorunun vahşi doğada kullanılması muhtemeldir.
Uyarı hem zamanında hem de gereklidir, çünkü bu bilgi ile donatılmış tehdit aktörleri onu savunmasız Confluence sunucularına giriş yapmak için kullanabilir ve Confluence-Users grubunun erişebileceği erişim sayfaları.
Ayrıca, Atlassian kullanıcılara zaten "uygulamanın etkilenen sürümlerini indirip inceledikten ve inceledikten sonra elde etmek için önemsiz olduğunu" zaten uyarmış olduğu için bu sürpriz değil.
Potansiyel saldırılara karşı savunmak için Atlassian, birleşme için soruların yamalı bir versiyonunun güncellenmesini veya devre dışı sistemin hesabını devre dışı bırakmasını/silmesini önerir.
Confluence uygulaması için soruların sabit bir sürüme güncellenmesi (sürümler 2.7.x> = 2.7.38 veya 3.0.5'den büyük sürümler) mevcutsa sorunlu kullanıcı hesabını kaldıracaktır.
Bir sunucunun bu sert kodlanmış kimlik bilgileri güvenlik kusurundan etkilenip etkilenmediğini belirlemek istiyorsanız, aşağıdaki bilgilerle etkin bir kullanıcı hesabını kontrol etmeniz gerekir:
Sömürü kanıtı aramak için, aşağıdaki talimatları kullanarak devre dışı sektörden kaynaklanan son kimlik doğrulama süresini kontrol edebilirsiniz. Sonuç NULL ise, hesap sistemde mevcuttur, ancak hiç kimse onu kullanırken imzalamamıştır.
Etkilenen sunuculardaki Confluence uygulaması için soruların kaldırılmasının, saldırı vektörünü (yani, sabit kodlanmış kimlik bilgilerini) kaldırmayacağını ve eşleştirilmemiş sistemlerin saldırılara maruz kalacağını belirtmek de önemlidir.
Confluence sunucuları, Linux Botnet kötü amaçlı yazılım, Avoslocker ve Cerber2021 fidye yazılımı ve kripto madencileri ile yapılan önceki saldırılarla gösterildiği gibi, tehdit aktörleri için cazip hedeflerdir.
Atlassian, kritik konfluence sert kodlanmış kimlik bilgileri kusurlarını düzeltir
Parola Yeniden Kullanımı Bitmek İçin Pencereler Reklamınızda Şifre Geçmişini Uygulamak
Travis CI günlüklerinde maruz kalan binlerce GitHub, AWS, Docker belirteçleri
Confluence sunucuları Avoslocker, Cerber2021 Ransomware'i dağıtmak için hacklendi
Linux Botnets artık kritik Atlassian Confluence Bug'dan yararlanıyor
Kaynak: Bleeping Computer