Confluence versleuteld wachtwoord gelekt op Twitter

Wat is erger dan een veelgebruikte zakelijke app met internetverbinding en een versleuteld wachtwoord? Probeer de genoemde enterprise-app nadat je je gecodeerde wachtwoord naar de wereld hebt gelekt.

Atlassian onthuld op woensdag Drie kritieke zwakheden van het productInclusief CVE-2022-26138 Komt voort uit een wachtwoord dat is versleuteld in de indeling Vragen om te ontmoeten, een applicatie waarmee gebruikers snel ondersteuning kunnen krijgen voor veelgestelde vragen over Atlassian-producten. Het bedrijf waarschuwde dat de toegangscode “triviaal was om te krijgen”.

Het bedrijf zei dat Questions for Convergence op het moment van publicatie 8.055 installaties had. Na installatie maakt de app een Confluence-gebruikersaccount aan, een gehandicapte gebruiker genaamd, die is bedoeld om beheerders te helpen bij het verplaatsen van gegevens tussen de app en de Confluence Cloud-service. Het gecodeerde wachtwoord dat dit account beschermt, maakt het mogelijk om alle onbeperkte pagina’s binnen Confluence te bekijken en te bewerken.

“Een niet-geverifieerde externe aanvaller met kennis van het versleutelde wachtwoord zou dit kunnen misbruiken om in te loggen op Confluence en toegang te krijgen tot alle pagina’s waartoe een groep confluence-gebruikers toegang heeft”, aldus het bedrijf. “Het is belangrijk om deze kwetsbaarheid op getroffen systemen onmiddellijk aan te pakken.”

Een dag later kwam Atlassian terug om te melden dat “een derde partij het gecodeerde wachtwoord had ontdekt en openbaar had gemaakt aan Twitter”, wat het bedrijf ertoe bracht zijn waarschuwingen te escaleren.

“Dit probleem zal waarschijnlijk in het wild worden misbruikt nu het gecodeerde wachtwoord bekend is bij het publiek”, staat in de bijgewerkte instructietekst. “Deze kwetsbaarheid op getroffen systemen moet onmiddellijk worden aangepakt.”

Het bedrijf waarschuwde dat zelfs als de app niet actief is geïnstalleerd in Confluence-installaties, deze nog steeds kwetsbaar kan zijn. Het verwijderen van de toepassing lost het beveiligingslek niet automatisch op, omdat de uitgeschakelde systeemgebruikersaccount nog steeds op het systeem aanwezig is.

Om erachter te komen of het systeem kwetsbaar is, adviseerde Atlassian Confluence-gebruikers om te zoeken naar accounts met de volgende informatie:

• gebruiker: kapot systeem
• gebruikersnaam: kapot systeem
• E-mailadres: [email protected]

Atlassian heeft verdere instructies gegeven voor het lokaliseren van deze accounts hier. De kwetsbaarheid heeft invloed op de release van Confluence Questions 2.7.x en 3.0.x. Atlassian bood klanten twee manieren om het probleem op te lossen: het uitschakelen of verwijderen van het account ‘Uitgeschakelde gebruiker’. Het bedrijf publiceerde ook Deze lijst van antwoorden op veelgestelde vragen.

Gebruikers die op zoek zijn naar bewijs van de exploit, kunnen de laatste authenticatietijd van de gebroken systeemgebruiker controleren met behulp van de instructies hier. Als het resultaat leeg is, betekent dit dat het account op het systeem staat, maar dat niemand ermee heeft ingelogd. De opdrachten geven ook alle recente inlogpogingen weer die succesvol of niet succesvol waren.

“Nu de patches uit zijn, kun je verwachten dat patchteams en reverse engineering-inspanningen in een vrij korte tijd een openbare POC zullen produceren”, schreef Casey Ellis, oprichter van de kwetsbaarheidsrapportageservice Bugcrowd, in een direct bericht. “Atlassian-winkels moeten onmiddellijk beginnen met het debuggen van producten die gericht zijn op het publiek, en die achter de firewall zo snel mogelijk. Opmerkingen in de adviestekst waarin wordt aanbevolen om proxyfiltering niet te beperken, suggereren dat er meerdere operationele paden zijn.”

De andere twee kwetsbaarheden die Atlassian woensdag heeft bekendgemaakt, zijn ook ernstig en treffen de volgende producten:

• Bamboo-server en datacenter
• Bitbucket-server en datacenter
• Convergentieserver en datacenter
• Crowdserver en datacenter
• smeltkroes
• Het vissenoog
• Jira-server en datacenter
• Jira Service Management-server en datacenter

Deze kwetsbaarheden worden bijgehouden als CVE-2022-26136 en CVE-2022-26137, waardoor het voor externe en niet-geverifieerde hackers mogelijk is om Servlet-filters te omzeilen die worden gebruikt door applicaties van eerste en derde partij.

“Het effect hangt af van welke filters elke app gebruikt en hoe de filters worden gebruikt”, zegt het bedrijf Hij zei. “Atlassian heeft updates uitgebracht die de hoofdoorzaak van dit beveiligingslek oplossen, maar hebben niet alle mogelijke gevolgen van dit beveiligingslek volledig opgesomd.”

Kwetsbare confluence-servers zijn altijd de favoriete verovering geweest voor hackers die willen installeren ransomwareEn de cryptominersen andere soorten malware. De kwetsbaarheden die deze week door Atlassian zijn onthuld, zijn ernstig genoeg dat beheerders prioriteit moeten geven aan een grondige beoordeling van hun systemen, idealiter vóór het begin van het weekend.