La empresa de software australiana Atlassian advirtió a los clientes que parchearan de inmediato una vulnerabilidad crítica que permite a los atacantes remotos iniciar sesión en servidores Confluence desconectados y servidores de centros de datos con credenciales codificadas.
como empresa fue revelado esta semanaPreguntas para la aplicación Confluence (instalada Más de 8000 servidores) crea Usuario del sistema deshabilitado Una cuenta con una contraseña codificada para ayudar a los administradores a mover datos de la aplicación a Confluence Cloud.
Un día después de publicar actualizaciones de seguridad para abordar la vulnerabilidad (controlado CVE-2022-26138), alertó a los administradores de Atlassian para que parchearan sus servidores lo antes posible después de que la contraseña codificada fuera descubierta y compartida en línea.
«Una contraseña codificada en Twitter ha sido descubierta y hecha pública por una parte externa. Es importante que las computadoras afectadas solucionen esta vulnerabilidad de inmediato». La compañía advirtió el jueves.
«Dado que la contraseña codificada se conoce públicamente, es probable que este problema se explote en la naturaleza».
La advertencia es oportuna y necesaria porque los actores de amenazas con este conocimiento pueden usarlo para iniciar sesión en servidores vulnerables de Confluence y acceder a páginas accesibles para un grupo de usuarios de Confluence.
Además, como ya ha advertido Atlassian a los usuarios, es «trivial obtener la contraseña después de descargar y revisar las versiones afectadas de la aplicación».
Aplicación de parches y verificación de fuentes de explotación
Para protegerse contra posibles ataques, Atlassian recomienda actualizar o deshabilitar/eliminar Preguntas para Confluence a una versión parcheada. Usuario del sistema deshabilitado Cuenta.
Actualización de las preguntas de la aplicación Confluence Para una versión estable (versiones 2.7.x >= 2.7.38 o versiones superiores a 3.0.5) elimina la cuenta de usuario problemática si existe.
Si desea determinar si el servidor se ve afectado por esta falla de seguridad de credenciales codificadas, debe verificar la cuenta de usuario activa con la siguiente información:
- Usuario: usuario del sistema deshabilitado
- Nombre de usuario: disabledsystemuser
- Correo electrónico: [email protected]
Puede verificar el tiempo de la última autenticación para buscar fuentes de explotación Usuario del sistema deshabilitado Usando lo siguiente instrucciones. si el resultado NadaLa cuenta existe en la computadora, pero nadie ha iniciado sesión usándola todavía.
También es importante tener en cuenta que la desinstalación de la aplicación Questions for Confluence en los servidores afectados no elimina el vector de ataque (es decir, las credenciales codificadas) y deja a los sistemas desconectados vulnerables a los ataques.
Los servidores de Confluence son objetivos atractivos para los actores de amenazas, como lo demuestran ataques anteriores. Malware de red de bots de Linux, AvosLocker Y cerber2021 ransomware, y mineros criptográficos.
«Aficionado a la comida. Defensor del tocino. Emprendedor autónomo. Nerd zombi incondicional. Explorador. Aficionado a las redes sociales. Pensador amigable con los hipster».
