La contraseña codificada en la aplicación Confluence se filtró en Twitter

imágenes falsas

¿Qué es peor que una aplicación empresarial conectada a Internet y ampliamente implementada con una contraseña codificada? Pruebe esta aplicación empresarial después de compartir la contraseña codificada con el mundo.

Atlassian descubrió el miércoles tres vulnerabilidades críticas de productos, incluida CVE-2022-26138, que se originó a partir de una contraseña codificada en Preguntas para Confluence, una aplicación que permite a los usuarios obtener asistencia rápidamente para las preguntas frecuentes sobre los productos de Atlassian. La compañía advirtió que el código de acceso es «trivial de obtener».

La empresa declaró que Questions for Confluence tenía 8.055 instalaciones en el momento de la publicación. Tras la instalación, la aplicación crea una cuenta de usuario de Confluence llamada disabledsystemuser, cuyo objetivo es ayudar a los administradores a mover datos entre la aplicación y el servicio en la nube de Confluence. La contraseña codificada que protege esta cuenta permite ver y editar cualquier página sin restricciones en Confluence.

«Un atacante remoto no autenticado con conocimiento de la contraseña codificada podría explotar esto para iniciar sesión en Confluence y acceder a cualquier página a la que tenga acceso el grupo de usuarios de Confluence», dijo la compañía. «Es importante abordar esta vulnerabilidad de inmediato en los sistemas afectados».

Un día después, Atlassian intervino e informó que «una parte externa descubrió y publicó la contraseña codificada en Twitter», lo que llevó a la compañía a intensificar sus advertencias.

«Es probable que este problema se explote en la naturaleza porque la contraseña codificada es de conocimiento público», dice el aviso actualizado. «Esta vulnerabilidad debe abordarse de inmediato en los sistemas afectados».

La compañía advirtió que incluso si las instalaciones de Confluence no instalaron activamente la aplicación, aún podrían ser vulnerables. La desinstalación de la aplicación no soluciona automáticamente la vulnerabilidad, ya que la cuenta de usuario del sistema deshabilitado aún puede existir en el sistema.

Para saber si un sistema es vulnerable, Atlassian aconsejó a los usuarios de Confluence que busquen cuentas con la siguiente información:

  • Usuario: usuario del sistema deshabilitado
  • Nombre de usuario: usuario del sistema deshabilitado
  • Correo electrónico: no elimine este usuario@email.com

Atlassian ha proporcionado más instrucciones sobre cómo encontrar dichas cuentas aquí. La vulnerabilidad afecta las versiones 2.7.xy 3.0.x de Questions for Confluence. Atlassian ofreció a los clientes dos opciones para resolver el problema: deshabilitar o eliminar la cuenta de usuario del sistema deshabilitado. La compañía también ha publicado esta lista de respuestas a preguntas frecuentes.

Los usuarios de Confluence que busquen pruebas de exploits pueden verificar la última hora de autenticación para disabledsystemuser usando las instrucciones aquí. Si el resultado es cero, la cuenta existe en el sistema pero nadie ha iniciado sesión con ella todavía. Los comandos también muestran los intentos de inicio de sesión recientes que fueron exitosos o fallidos.

«Ahora que los parches están disponibles, espere diferencias de parches y esfuerzos de ingeniería inversa para crear un POC público en un período de tiempo relativamente corto», escribió Casey Ellis, fundador del servicio de informes de vulnerabilidades Bugcrowd, en un mensaje directo. “Las tiendas de Atlassian deberían comenzar a parchear los productos de cara al público de inmediato y los que están detrás del firewall lo antes posible.

Las otras dos vulnerabilidades que Atlassian anunció el miércoles también son graves y afectan a los siguientes productos:

  • Servidores y centro de datos Bamboo
  • Servidores Bitbucket y centro de datos
  • Servidor y centro de datos de Confluence
  • Multitud de servidores y centro de datos
  • crisol
  • ojo de pez
  • Servidor Jira y centro de datos
  • Centro de datos y servidor de gestión de servicios de Jira

Estas vulnerabilidades, rastreadas como CVE-2022-26136 y CVE-2022-26137, permiten a los piratas informáticos remotos no autenticados eludir los filtros de servlet utilizados por aplicaciones propias y de terceros.

«El impacto depende de qué filtros usa cada aplicación y cómo se usan los filtros», dijo la compañía. «Atlassian ha publicado actualizaciones que abordan la causa raíz de esta vulnerabilidad, pero no ha enumerado completamente todas las posibles consecuencias de esta vulnerabilidad».

Los servidores vulnerables de Confluence han sido durante mucho tiempo un punto de entrada popular para los piratas informáticos que buscan instalar ransomware, criptomineros y otras formas de malware. Las vulnerabilidades que Atlassian reveló esta semana son lo suficientemente graves como para que los administradores deban priorizar un análisis exhaustivo de sus sistemas, idealmente antes de que comience el fin de semana.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí