imágenes falsas
¿Qué es peor que una aplicación empresarial conectada a Internet y ampliamente utilizada con una contraseña codificada? Pruebe dicha aplicación comercial después de que la contraseña codificada se filtre al mundo.
Atlassian presentado el miércoles tres vulnerabilidades críticas del productoincluído CVE-2022-26138 de una contraseña codificada en Preguntas para Confluencia, una aplicación que permite a los usuarios recibir rápidamente soporte para preguntas comunes sobre los productos de Atlassian. La compañía advirtió que el código de acceso era «fácil de obtener».
La compañía dijo que Questions for Confluence tenía 8.055 instalaciones en el momento de la publicación. Una vez instalada, la aplicación crea una cuenta de usuario de Confluence llamada disabledsystemuser, para ayudar a los administradores a mover datos entre la aplicación y el servicio Confluence Cloud. La contraseña codificada que protege esta cuenta permite ver y editar todas las páginas de Confluence sin restricciones.
«Un atacante remoto no autenticado que conozca la contraseña codificada podría explotar esto para iniciar sesión en Confluence y obtener acceso a todas las páginas a las que tiene acceso el grupo de usuarios de Confluence», dijo la compañía. «Es importante abordar de inmediato esta vulnerabilidad en los sistemas afectados».
Un día después, Atlassian volvió a informar que «una parte externa descubrió y reveló públicamente la contraseña codificada en Twitter», lo que llevó a la empresa a aumentar sus advertencias.
“Es probable que este problema se explote en la naturaleza ahora que la contraseña codificada se conoce públicamente”, se lee en el aviso actualizado. «Esta vulnerabilidad debe abordarse de inmediato en los sistemas afectados».
La compañía advirtió que incluso cuando las instalaciones de Confluence no han instalado activamente la aplicación, aún pueden ser vulnerables. La desinstalación de la aplicación no corrige automáticamente la vulnerabilidad, ya que la cuenta de usuario del sistema deshabilitada aún puede residir en el sistema.
Para determinar si un sistema es vulnerable, Atlassian aconsejó a los usuarios de Confluence que busquen cuentas con la siguiente información:
- Usuario: usuariosistemadeshabilitado
- Nombre del usuario: usuariosistemadeshabilitado
- Correo electrónico: no elimine este [email protected]
Atlassian ha proporcionado más instrucciones para localizar estas cuentas. aquí. La vulnerabilidad afecta a las versiones 2.7.x y 3.0.x de Questions for Confluence. Atlassian proporcionó dos formas para que los clientes resolvieran el problema: deshabilitar o eliminar la cuenta «disabledsystemuser». La empresa también lanzó esta lista respuestas a preguntas frecuentes.
Los usuarios de Confluence que buscan evidencia de explotación pueden verificar la hora de la última autenticación del usuario del sistema deshabilitado usando las instrucciones aquí. Si el resultado es cero, la cuenta existe en el sistema, pero nadie ha iniciado sesión usándola todavía. Los comandos también muestran todos los intentos de inicio de sesión recientes que han tenido éxito o han fallado.
«Ahora que los parches están disponibles, se puede esperar que los esfuerzos de ingeniería inversa y de diferenciación de parches produzcan un POC público en un tiempo bastante corto», escribió Casey Ellis, fundador del servicio de informes de vulnerabilidades Bugcrowd, en un mensaje directo. «Las tiendas Atlassian deben parchear de inmediato los productos destinados al público y aquellos que están detrás del firewall lo antes posible. Los comentarios en el aviso que recomiendan no usar el filtrado de proxy como mitigación sugieren que hay varias vías de activación.
Las otras dos vulnerabilidades reveladas por Atlassian el miércoles también son graves y afectan a los siguientes productos:
- Servidor y centro de datos Bamboo
- Servidor Bitbucket y centro de datos
- Servidor y centro de datos de Confluence
- Servidor de multitudes y centro de datos
- Crisol
- ojo de pez
- Centro de datos y servidor Jira
- Centro de datos y servidor de gestión de servicios de Jira
Rastreadas como CVE-2022-26136 y CVE-2022-26137, estas vulnerabilidades permiten a atacantes remotos no autenticados eludir los filtros de servlet utilizados por aplicaciones propietarias y de terceros.
“El impacto depende de los filtros utilizados por cada aplicación y cómo se utilizan los filtros”, dijo la empresa. ha dicho. «Atlassian ha publicado actualizaciones que abordan la causa raíz de esta vulnerabilidad, pero no ha enumerado de forma exhaustiva todas las posibles consecuencias de esta vulnerabilidad».
Los servidores vulnerables de Confluence han sido durante mucho tiempo una apertura favorita para los piratas informáticos que buscan instalar Secuestro de datos, criptominerosy otras formas de malware. Las vulnerabilidades reveladas por Atlassian esta semana son lo suficientemente graves como para que los administradores deban priorizar un examen exhaustivo de sus sistemas, idealmente antes del comienzo del fin de semana.
