Atlassian Atlassian Confluence утечка данных безопасность уязвимость MITRE CVE
После исправления критической уязвимости пароль стал общедоступным
Atlassian призвала клиентов немедленно исправить критическую уязвимость, которая предоставляет удаленному злоумышленнику жестко закодированные учетные данные для входа на неисправленные серверы Confluence Server и Data Center. По словам Atlassian, приложение Questions for Confluence создает учетную запись
disabledsystemuser с жестко закодированным паролем, чтобы помочь администраторам перенести данные из приложения в Confluence Cloud.
На следующий день после выпуска исправлений для уязвимости CVE-2022-26138 Atlassian предупредил администраторов о необходимости срочно исправить свои серверы , поскольку жестко закодированный пароль был раскрыт и опубликован в сети.
По словам фирмы, эта проблема теперь будет использоваться злоумышленниками, так как пароль стал общеизвестным. Киберпреступники могут использовать пароль для входа на уязвимые серверы Confluence и получения доступа к любым страницам группы Confluence-users. Кроме того, Atlassian ранее предупреждал пользователей, что пароль
«несложно получить после загрузки и просмотра уязвимых версий приложения».Для защиты от потенциальной атаки Atlassian порекомендовал обновиться до исправленной версии Questions for Confluence или отключить/удалить учетную запись
disabledsystemuser. Обновление приложения Questions for Confluence до версии 3.0.5 удалит уязвимую учетную запись пользователя.
Если вы хотите определить, подвержен ли сервер уязвимости, вам необходимо проверить активную учетную запись пользователя со следующей информацией:
Пользователь: disabledsystemuser
Имя пользователя: disabledsystemuser
Электронная почта: dontdeletethisuser@email.com
Чтобы найти доказательства эксплуатации, вы можете проверить время последней аутентификации для
disabledsystemuser с помощью инструкций . Если результат равен «
null», учетная запись существует в системе, но никто еще не вошел с ее помощью. Однако, удаление приложения Questions for Confluence на затронутых серверах не удалит вектор атаки, а неисправленные системы останутся уязвимыми для атак.
SECURITYLAB.RU