Atlassian, Confluence Server ve Veri Merkezi'nde, uzaktan, kimliksiz saldırganların savunmasız, kapatılmamış sunuculara giriş yapmasına izin verebilecek kritik bir sabit kodlu kimlik bilgileri güvenlik açığı yamaladı.
Sabit kodlanmış şifre, Confluence uygulaması için sorular yüklendikten sonra eklenir (sürümler 2.7.34, 2.7.35 ve 3.0.2. Confluence Bulutu.
Atlassian'a göre, uygulama kuruluşun dahili Soru -Cevap ekibi ile iletişimi geliştirmeye yardımcı oluyor ve şu anda 8.000'den fazla Confluence sunucusuna yükleniyor.
Şirket, "EngelledSyStemUser hesabı, sabit kodlanmış bir şifre ile oluşturuldu ve Confluence-kullanıcılar grubuna ekleniyor, bu da Confluence içinde sınırsız tüm sayfaların görüntülenmesine ve düzenlenmesine izin veriyor."
"Sabit kodlanmamış şifre bilgisine sahip uzak, kimlik doğrulanmamış bir saldırgan, Confluence'a giriş yapmak ve Confluence-Users grubunun erişebileceği sayfalara erişmek için bunu kullanabilir."
Atlassian, hiçbir kanıt olmadığını ve henüz kırılganlığın (CVE-2022-26138 olarak izlendiği) vahşi doğada sömürüldüğüne dair raporlar almadığını söylüyor.
Ancak şirket, "Uygulamanın etkilenen sürümlerini indirip inceledikten sonra sabit kodlu şifrenin elde etmek için önemsiz olduğu" konusunda uyardı.
Sunucularının bu sert kodlanmış kimlik bilgilerinden etkilenip etkilenmediğini belirlemek isteyen yöneticiler, aşağıdaki bilgilerle etkin bir kullanıcı hesabını kontrol etmek zorundadır:
Etkilenen sunucularda, Confluence uygulaması için soruların kaldırılması bu güvenlik açığını düzeltmez ve saldırı vektörünü (yani, sabit kodlu bir şifre ile devre dışı bırakma hesabı) kaldırmaz.
Sorunu güncellemeyi yükleyene kadar çözmek için Atlassian, Confluence için soruların yamalı bir sürümüne güncellenmesini veya devre dışı bırakma/devre dışı bırakılmasını önerir.
Confluence uygulaması için soruların sabit bir sürüme güncellenmesi (sürümler 2.7.x> = 2.7.38 veya 3.0.5'den daha yüksek sürümler) sorunlu kullanıcı hesabını oluşturmayı durduracak ve mevcutsa kaldıracaktır.
Hesabı devre dışı bırakmak veya silmek için, bu destek belgesinde verilen ayrıntılı adımları kullanabilirsiniz.
Sunucularınızda sömürü kanıtlarını aramak için, bu talimatları izleyerek engelli sektör için son kimlik doğrulama süresini kontrol etmelisiniz. Sonuç null ise, sistemde hesap var, ancak kimse onu kullanırken imzalamadı.
Bilgisayar korsanları, kriptominasyon için son zamanlarda yamalı Confluence hatasını sömürüyor
Atlassian Confluence RCE Bug, Patch Now için yayınlanan istismar
Kritik Atlassian Confluence Salatlarda aktif olarak kullanılır
Confluence sunucuları Avoslocker, Cerber2021 Ransomware'i dağıtmak için hacklendi
Linux Botnets artık kritik Atlassian Confluence Bug'dan yararlanıyor
Kaynak: Bleeping Computer