Senha criptografada do Confluence vazou no Twitter

Imagens Getty

O que é pior do que um aplicativo corporativo conectado à Internet amplamente usado com uma senha criptografada? Experimente o referido aplicativo corporativo depois de vazar sua senha criptografada para o mundo.

Atlassian revelado na quarta-feira Três pontos fracos críticos do produtoIncluindo CVE-2022-26138 Decorre de uma senha criptografada no formato Perguntas para conhecer, um aplicativo que permite que os usuários recebam rapidamente suporte para perguntas frequentes sobre os produtos Atlassian. A empresa alertou que a senha era “trivial de obter”.

A empresa disse que o Questions for Convergence tinha 8.055 instalações no momento da publicação. Após a instalação, o aplicativo cria uma conta de usuário do Confluence chamada de usuário desabilitado, que se destina a ajudar os administradores a mover dados entre o aplicativo e o serviço Confluence Cloud. A senha criptografada que protege esta conta permite a visualização e edição de todas as páginas irrestritas no Confluence.

“Um invasor remoto não autenticado com conhecimento da senha criptografada pode explorar isso para fazer login no Confluence e acessar qualquer página que um grupo de usuários do confluence possa acessar”, disse a empresa. “É importante resolver imediatamente essa vulnerabilidade nos sistemas afetados”.

Um dia depois, a Atlassian voltou a relatar que “um terceiro havia descoberto e divulgado publicamente a senha criptografada ao Twitter”, levando a empresa a aumentar seus avisos.

“Esse problema provavelmente será explorado em estado selvagem agora que a senha criptografada é conhecida do público”, afirma o texto de instruções atualizado. “Esta vulnerabilidade nos sistemas afetados deve ser tratada imediatamente.”

A empresa alertou que, mesmo que o aplicativo não esteja instalado ativamente nas instalações do Confluence, ele ainda pode estar vulnerável. A desinstalação do aplicativo não elimina automaticamente a vulnerabilidade porque a conta de usuário do sistema desabilitada ainda existe no sistema.

READ  Rumor: Possíveis capturas de tela do baralho de um novo emblema de fogo 'acabado' na internet

Para descobrir se o sistema é vulnerável, a Atlassian aconselhou os usuários do Confluence a procurar contas com as seguintes informações:

  • do utilizador: sistema quebrado
  • nome de usuário: sistema quebrado
  • E-mail: dontdeletethisuser@email.com

A Atlassian forneceu mais instruções para localizar essas contas por aqui. A vulnerabilidade afeta o lançamento do Confluence Questions 2.7.xe 3.0.x. A Atlassian ofereceu duas maneiras para os clientes corrigirem o problema: desabilitando ou removendo a conta “Usuário desabilitado”. A empresa também publicou Esta lista de respostas às perguntas mais frequentes.

Os usuários que procuram evidências da exploração podem verificar a última hora de autenticação do usuário do sistema quebrado usando as instruções por aqui. Se o resultado estiver vazio, significa que a conta está no sistema, mas ninguém fez login com ela. Os comandos também exibem todas as tentativas de login recentes que foram bem-sucedidas ou malsucedidas.

“Agora que os patches foram lançados, pode-se esperar que as equipes de patches e os esforços de engenharia reversa produzam um POC público em pouco tempo”, escreveu Casey Ellis, fundador do serviço de relatórios de vulnerabilidade Bugcrowd, em uma mensagem direta. “As lojas da Atlassian devem começar a depurar produtos voltados para o público imediatamente e aqueles por trás do firewall o mais rápido possível. Os comentários no texto do aviso recomendando que não haja filtragem de proxy como mitigação sugerem que existem vários caminhos operacionais.”

As outras duas vulnerabilidades divulgadas pela Atlassian na quarta-feira também são graves, afetando os seguintes produtos:

  • Servidor de bambu e centro de dados
  • Servidor Bitbucket e data center
  • Servidor de convergência e data center
  • Servidor de multidão e data center
  • cadinho
  • O olho do peixe
  • Servidor e data center Jira
  • Jira Service Management Server e Data Center
READ  Como escolher o MacBook certo

Essas vulnerabilidades são rastreadas como CVE-2022-26136 e CVE-2022-26137, possibilitando que hackers remotos e não autenticados ignorem os filtros de Servlet usados ​​por aplicativos próprios e de terceiros.

“O efeito depende de quais filtros cada aplicativo usa e como os filtros são usados”, a empresa Ele disse. “A Atlassian lançou atualizações que corrigem a causa raiz dessa vulnerabilidade, mas não listou de forma abrangente todas as possíveis consequências dessa vulnerabilidade.”

Servidores de confluência vulneráveis ​​sempre foram a conquista preferida dos hackers que desejam instalar ransomwareE a criptomineradorese outros tipos de malware. As vulnerabilidades reveladas pela Atlassian nesta semana são graves o suficiente para que os administradores priorizem uma revisão completa de seus sistemas, idealmente antes do início do fim de semana.

Deixe uma resposta

O seu endereço de email não será publicado.