Contraseña cifrada de Confluence filtrada en Twitter

¿Qué es peor que una aplicación empresarial conectada a Internet ampliamente utilizada con una contraseña cifrada? Pruebe dicha aplicación empresarial después de filtrar la contraseña cifrada al mundo.

Atlassian revelado el miércoles Tres debilidades críticas del productoIncluido CVE-2022-26138 Se deriva de una contraseña cifrada en el formato Preguntas para conocer, una aplicación que permite a los usuarios recibir soporte rápidamente para las preguntas más frecuentes relacionadas con los productos de Atlassian. La compañía advirtió que el código de acceso era «trivial de obtener».

La compañía dijo que el programa Questions to Meet tenía 8.055 instalaciones en el momento de la publicación. Tras la instalación, la aplicación crea una cuenta de usuario de Confluence llamada usuario deshabilitado, cuyo objetivo es ayudar a los administradores a mover datos entre la aplicación y el servicio Confluence Cloud. La contraseña cifrada que protege esta cuenta permite ver y editar todas las páginas sin restricciones dentro de Confluence.

«Un atacante remoto no autenticado con conocimiento de la contraseña cifrada podría explotar esto para iniciar sesión en Confluence y acceder a cualquier página a la que pueda acceder un grupo de usuarios de Confluence», dijo la compañía. «Es importante abordar de inmediato esta vulnerabilidad en los sistemas afectados».

Un día después, Atlassian volvió a informar que «un tercero había descubierto y divulgado públicamente la contraseña configurada en Twitter», lo que llevó a la empresa a intensificar sus advertencias.

«Es probable que este problema se explote en la naturaleza ahora que la contraseña cifrada es conocida por el público», dice el texto de instrucciones actualizado. «Esta vulnerabilidad en los sistemas afectados debe abordarse de inmediato».

La compañía advirtió que incluso si la aplicación no está instalada activamente en las instalaciones de Confluence, aún podría ser vulnerable. La desinstalación de la aplicación no soluciona automáticamente la vulnerabilidad porque la cuenta de usuario del sistema deshabilitada todavía existe en el sistema.

Para saber si el sistema es vulnerable, Atlassian aconsejó a los usuarios de Confluence que busquen cuentas con la siguiente información:

• usuario: sistema roto
• nombre de usuario: sistema roto
• Correo electrónico: no elimine este [email protected]

Atlassian ha proporcionado más instrucciones para localizar dichas cuentas. aqui. La vulnerabilidad afecta el lanzamiento de Confluence Questions 2.7.x y 3.0.x. Atlassian ofreció dos formas para que los clientes solucionen el problema: deshabilitar o eliminar la cuenta de «Usuario deshabilitado». La empresa también publicó Esta lista de respuestas a preguntas frecuentes.

Atraer a los usuarios que buscan evidencia de explotación puede verificar el último tiempo de autenticación del usuario del sistema deshabilitado usando las instrucciones aqui. Si el resultado está vacío, significa que la cuenta está en el sistema, pero nadie ha iniciado sesión con ella. Los comandos también muestran los intentos de inicio de sesión recientes que fueron exitosos o fallidos.

«Ahora que los parches están disponibles, uno puede esperar que los equipos de parches y los esfuerzos de ingeniería inversa produzcan un POC público en un tiempo bastante corto», escribió Casey Ellis, fundador del servicio de informes de vulnerabilidades Bugcrowd, en un mensaje directo. «Las tiendas de Atlassian deberían comenzar a depurar los productos orientados al público de inmediato, y los que están detrás del firewall lo más rápido posible. Los comentarios en el texto de aviso que recomiendan no filtrar proxy como mitigación sugieren que existen múltiples rutas operativas».

Las otras dos vulnerabilidades reveladas por Atlassian el miércoles también son graves y afectan a los siguientes productos:

• Servidor y centro de datos Bamboo
• Servidor Bitbucket y centro de datos
• Servidor de convergencia y centro de datos
• Servidor de multitudes y centro de datos
• crisol
• el ojo de pez
• Servidor y centro de datos Jira
• Centro de datos y servidor de gestión de servicios de Jira

Estas vulnerabilidades se rastrean como CVE-2022-26136 y CVE-2022-26137, lo que hace posible que los piratas informáticos remotos y no autenticados eludan los filtros Servlet utilizados por aplicaciones propias y de terceros.

“El efecto depende de qué filtros usa cada aplicación y cómo se usan los filtros”, dice la compañía. Él dijo. «Atlassian ha publicado actualizaciones que solucionan la causa raíz de esta vulnerabilidad, pero no han enumerado de forma exhaustiva todas las posibles consecuencias de esta vulnerabilidad».

Los servidores de confluencia vulnerables siempre han sido la conquista preferida de los piratas informáticos que buscan instalar Secuestro de datosY el criptominerosy otros tipos de malware. Las vulnerabilidades reveladas por Atlassian esta semana son lo suficientemente graves como para que los administradores deban priorizar una revisión exhaustiva de sus sistemas, idealmente antes del comienzo del fin de semana.