รหัสผ่านฮาร์ดโค้ดในแอป Confluence รั่วบน Twitter

มีอะไรที่แย่ไปกว่าแอปองค์กรที่เชื่อมต่ออินเทอร์เน็ตที่ใช้กันอย่างแพร่หลายด้วยรหัสผ่านแบบฮาร์ดโค้ด ลองใช้แอปองค์กร

เมื่อวันพุธที่ผ่านมา Atlassian ได้เปิดเผยช่องโหว่ของผลิตภัณฑ์ที่สำคัญ 3 ประการซึ่งรวมถึงCVE-2022-26138ที่เกิดจากรหัสผ่านแบบฮาร์ดโค้ดในQuestions for Confluenceแอปที่ช่วยให้ผู้ใช้สามารถรับการสนับสนุนสำหรับคำถามทั่วไปเกี่ยวกับผลิตภัณฑ์ Atlassian ได้อย่างรวดเร็ว บริษัทเตือนว่ารหัสผ่านนั้น “หายาก”

UFA Slot

บริษัทกล่าวว่า Questions for Confluence มีการติดตั้ง 8,055 ครั้งในขณะที่เผยแพร่ เมื่อติดตั้งแล้ว แอปจะสร้างบัญชีผู้ใช้ Confluence ชื่อ disabledsystemuser ซึ่งมีวัตถุประสงค์เพื่อช่วยผู้ดูแลระบบในการย้ายข้อมูลระหว่างแอปและบริการ Confluence Cloud รหัสผ่านแบบฮาร์ดโค้ดที่ปกป้องบัญชีนี้ทำให้สามารถดูและแก้ไขหน้าที่ไม่ถูกจำกัดทั้งหมดภายใน Confluence

“ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์ที่มีความรู้เกี่ยวกับรหัสผ่านแบบฮาร์ดโค้ดสามารถใช้ประโยชน์จากสิ่งนี้เพื่อเข้าสู่ระบบ Confluence และเข้าถึงหน้าใดๆ ที่กลุ่มผู้ใช้ที่บรรจบกันสามารถเข้าถึงได้” บริษัทกล่าว “สิ่งสำคัญคือต้องแก้ไขช่องโหว่นี้ในระบบที่ได้รับผลกระทบทันที”

หนึ่งวันต่อมา Atlassian กลับมารายงานว่า “บุคคลภายนอกได้ค้นพบและเปิดเผยรหัสผ่านแบบฮาร์ดโค้ดบน Twitter ต่อสาธารณะแล้ว” ซึ่งทำให้บริษัทต้องตักเตือน

“ปัญหานี้มีแนวโน้มที่จะถูกใช้ประโยชน์ในธรรมชาติในขณะนี้ ซึ่งรหัสผ่านแบบฮาร์ดโค้ดเป็นที่รู้กันทั่วไป” อ่านคำแนะนำที่ได้รับการปรับปรุง “ช่องโหว่นี้ควรได้รับการแก้ไขในระบบที่ได้รับผลกระทบทันที”

บริษัทเตือนว่าแม้เมื่อการติดตั้ง Confluence ไม่ได้ติดตั้งแอปอยู่ ก็ยังอาจมีช่องโหว่ การถอนการติดตั้งแอปไม่ได้แก้ไขช่องโหว่โดยอัตโนมัติ เนื่องจากระบบปิดใช้บัญชีผู้ใช้ยังสามารถอยู่ในระบบได้

  • ผู้ใช้: disabledsystemuser
  • ชื่อผู้ใช้: disabledsystemuser
  • อีเมล: [email protected]

Atlassian ได้ให้คำแนะนำเพิ่มเติมสำหรับการค้นหาบัญชีดังกล่าวที่นี่ ช่องโหว่นี้ส่งผลต่อ Question for Confluence เวอร์ชัน 2.7.x และ 3.0.x Atlassian ให้สองวิธีแก่ลูกค้าในการแก้ไขปัญหา: ปิดใช้งานหรือลบบัญชี “disabledsystemuser” บริษัทยังได้เผยแพร่รายการคำตอบสำหรับคำถามที่พบบ่อยนี้

ผู้ใช้ที่บรรจบกันที่กำลังมองหาหลักฐานการเอารัดเอาเปรียบสามารถตรวจสอบเวลารับรองความถูกต้องล่าสุดสำหรับผู้ใช้ระบบที่ปิดใช้งานโดยใช้คำแนะนำที่นี่ หากผลลัพธ์เป็นโมฆะ แสดงว่ามีบัญชีอยู่ในระบบ แต่ยังไม่มีใครลงชื่อเข้าใช้ด้วย คำสั่งยังแสดงความพยายามในการเข้าสู่ระบบล่าสุดที่สำเร็จหรือไม่สำเร็จ

Casey Ellis ผู้ก่อตั้งบริการรายงานช่องโหว่ Bugcrowd ได้เขียนข้อความโดยตรงว่า “ตอนนี้แพตช์ออกแล้ว เราสามารถคาดหวังความแตกต่างของแพตช์และความพยายามทางวิศวกรรมย้อนกลับเพื่อผลิต POC สาธารณะได้ในเวลาอันสั้น” “ร้านค้า Atlassian ควรดำเนินการแก้ไขผลิตภัณฑ์ที่เปิดเผยต่อสาธารณะทันที และผู้ที่อยู่เบื้องหลังไฟร์วอลล์โดยเร็วที่สุด ความคิดเห็นในคำแนะนำที่แนะนำให้ต่อต้านการกรองพร็อกซีเป็นการบรรเทาปัญหาแนะนำว่ามีเส้นทางทริกเกอร์หลายทาง

ช่องโหว่อีก 2 รายการของ Atlassian ที่เปิดเผยเมื่อวันพุธนั้นก็ร้ายแรงเช่นกัน โดยส่งผลกระทบต่อผลิตภัณฑ์ดังต่อไปนี้:

  • เซิร์ฟเวอร์ไม้ไผ่และศูนย์ข้อมูล
  • เซิร์ฟเวอร์ Bitbucket และศูนย์ข้อมูล
  • Confluence Server และ Data Center
  • เซิร์ฟเวอร์ฝูงชนและศูนย์ข้อมูล
  • เบ้าหลอม
  • ฟิชอาย
  • Jira เซิร์ฟเวอร์และศูนย์ข้อมูล
  • Jira Service Management Server and Data Center

ช่องโหว่เหล่านี้ถูกติดตามในฐานะ CVE-2022-26136 และ CVE-2022-26137 ทำให้แฮกเกอร์จากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเลี่ยงผ่านตัวกรอง Servlet ที่ใช้โดยแอปของบุคคลที่หนึ่งและบุคคลที่สาม

“ผลกระทบขึ้นอยู่กับว่าแต่ละแอพใช้ตัวกรองใด และวิธีการใช้งานตัวกรอง” บริษัทกล่าว “Atlassian ได้เผยแพร่การอัปเดตที่แก้ไขสาเหตุของช่องโหว่นี้ แต่ยังไม่ได้ระบุผลที่อาจเกิดขึ้นจากช่องโหว่นี้อย่างละเอียดถี่ถ้วน”

เซิร์ฟเวอร์ Vulnerable Confluence เป็นช่องเปิดยอดนิยมสำหรับแฮกเกอร์ที่ต้องการติดตั้งransomware , cryptominersและมัลแวร์รูปแบบอื่น ๆ ช่องโหว่ที่ Atlassian เปิดเผยในสัปดาห์นี้นั้นร้ายแรงพอที่ผู้ดูแลระบบควรจัดลำดับความสำคัญในการตรวจสอบระบบของตนอย่างละเอียดถี่ถ้วนก่อนจะเริ่มต้นวันหยุดสุดสัปดาห์

Releated