La contraseña codificada en la aplicación Confluence se ha filtrado en Twitter

La contraseña codificada en la aplicación Confluence se ha filtrado en Twitter

imágenes falsas

¿Qué es peor que una aplicación empresarial conectada a Internet ampliamente utilizada con una contraseña codificada? Pruebe dicha aplicación empresarial después de que la contraseña codificada se haya filtrado al mundo.

Atlassian reveló el miércoles tres vulnerabilidades críticas del productoincluido CVE-2022-26138 derivada de una contraseña codificada en Preguntas para Confluencia, una aplicación que permite a los usuarios recibir rápidamente soporte para preguntas comunes relacionadas con los productos de Atlassian. La compañía advirtió que el código de acceso era “trivial de obtener”.

La empresa dijo que Questions for Confluence tenía 8.055 instalaciones en el momento de la publicación. Cuando se instala, la aplicación crea una cuenta de usuario de Confluence llamada disabledsystemuser, cuyo objetivo es ayudar a los administradores a mover datos entre la aplicación y el servicio Confluence Cloud. La contraseña codificada que protege esta cuenta permite ver y editar todas las páginas no restringidas dentro de Confluence.

“Un atacante remoto no autenticado con conocimiento de la contraseña codificada podría explotar esto para iniciar sesión en Confluence y acceder a cualquier página a la que tenga acceso el grupo de usuarios de Confluence”, dijo la compañía. “Es importante remediar esta vulnerabilidad en los sistemas afectados de inmediato”.

Un día después, Atlassian regresó para informar que “una parte externa descubrió y reveló públicamente la contraseña codificada en Twitter”, lo que llevó a la compañía a aumentar sus advertencias.

“Es probable que este problema se explote en la naturaleza ahora que la contraseña codificada se conoce públicamente”, decía el aviso actualizado. “Esta vulnerabilidad debe remediarse en los sistemas afectados de inmediato”.

La compañía advirtió que incluso cuando las instalaciones de Confluence no tienen la aplicación instalada activamente, aún pueden ser vulnerables. La desinstalación de la aplicación no corrige automáticamente la vulnerabilidad porque la cuenta de usuario del sistema deshabilitado aún puede residir en el sistema.

Para averiguar si un sistema es vulnerable, Atlassian aconsejó a los usuarios de Confluence que busquen cuentas con la siguiente información:

  • Usuario: usuariodeshabilitadosistema
  • Nombre de usuario: usuariodeshabilitadosistema
  • Correo electrónico: no elimine este usuario@email.com

Atlassian proporcionó más instrucciones para localizar dichas cuentas. aquí. La vulnerabilidad afecta las versiones 2.7.xy 3.0.x de Questions for Confluence. Atlassian proporcionó dos formas para que los clientes solucionen el problema: deshabilitar o eliminar la cuenta “disabledsystemuser”. La empresa también ha publicado esta lista de respuestas a preguntas frecuentes.

Los usuarios de Confluence que busquen evidencia de explotación pueden verificar la última hora de autenticación para el usuario del sistema deshabilitado usando las instrucciones aquí. Si el resultado es nulo, la cuenta existe en el sistema, pero nadie ha iniciado sesión usándola todavía. Los comandos también muestran los intentos de inicio de sesión recientes que fueron exitosos o fallidos.

“Ahora que los parches están disponibles, uno puede esperar que la diferencia de parches y los esfuerzos de ingeniería inversa produzcan un POC público en un tiempo bastante corto”, escribió en un mensaje directo Casey Ellis, fundador del servicio de informes de vulnerabilidades Bugcrowd. “Las tiendas de Atlassian deberían comenzar a parchear los productos de cara al público de inmediato y los que están detrás del firewall lo más rápido posible. Los comentarios en el aviso que recomiendan no filtrar proxy como mitigación sugieren que existen múltiples vías de activación.

Las otras dos vulnerabilidades que Atlassian reveló el miércoles también son graves y afectan a los siguientes productos:

  • Servidor y centro de datos Bamboo
  • Servidor Bitbucket y centro de datos
  • Servidor de confluencia y centro de datos
  • Servidor de multitudes y centro de datos
  • Crisol
  • ojo de pez
  • Centro de datos y servidor Jira
  • Centro de datos y servidor de gestión de servicios de Jira

Rastreadas como CVE-2022-26136 y CVE-2022-26137, estas vulnerabilidades hacen posible que los piratas informáticos remotos no autenticados eludan los filtros de servlet utilizados por aplicaciones propias y de terceros.

“El impacto depende de qué filtros usa cada aplicación y cómo se usan los filtros”, dijo la compañía. dijo. “Atlassian ha publicado actualizaciones que solucionan la causa raíz de esta vulnerabilidad, pero no ha enumerado de forma exhaustiva todas las posibles consecuencias de esta vulnerabilidad”.

Los servidores vulnerables de Confluence han sido durante mucho tiempo una apertura favorita para los piratas informáticos que buscan instalar Secuestro de datos, criptomineros y otras formas de malware. Las vulnerabilidades que Atlassian reveló esta semana son lo suficientemente graves como para que los administradores deban priorizar una revisión exhaustiva de sus sistemas, idealmente antes de que comience el fin de semana.

Leave a Reply

Your email address will not be published.