Čo je horšie ako široko používaná podniková aplikácia pripojená na internet so zašifrovaným heslom? Vyskúšajte uvedenú podnikovú aplikáciu po tom, ako svetu unikla vaše zašifrované heslo.

Atlassian odhalil v stredu Tri kritické slabé stránky produktuPočítajúc do toho CVE-2022-26138 Vychádza z hesla zašifrovaného vo formáte Otázky na stretnutie, aplikácia, ktorá používateľom umožňuje rýchlo získať podporu pre často kladené otázky týkajúce sa produktov Atlassian. Spoločnosť varovala, že prístupový kód je „triviálne získať“.

Spoločnosť uviedla, že Otázky pre konvergenciu mali v čase zverejnenia 8 055 inštalácií. Po inštalácii aplikácia vytvorí používateľský účet Confluence nazývaný zakázaný používateľ, ktorý má pomôcť správcom presúvať údaje medzi aplikáciou a službou Confluence Cloud. Šifrované heslo chrániace tento účet umožňuje prezeranie a úpravu všetkých neobmedzených stránok v rámci Confluence.

„Neoverený vzdialený útočník so znalosťou zašifrovaného hesla by to mohol zneužiť na prihlásenie sa do Confluence a prístup ku všetkým stránkam, ku ktorým má prístup skupina používateľov confluence,“ uviedla spoločnosť. „Je dôležité okamžite riešiť túto zraniteľnosť na postihnutých systémoch.“

O deň neskôr sa Atlassian vrátil a oznámil, že „tretia strana objavila a verejne zverejnila zašifrované heslo na Twitteri“, čo prinútilo spoločnosť eskalovať svoje varovania.

„Tento problém bude pravdepodobne zneužitý vo voľnej prírode, keď je šifrované heslo verejnosti známe,“ uvádza sa v aktualizovanom texte s návodom. „Táto zraniteľnosť na postihnutých systémoch musí byť okamžite vyriešená.“

Spoločnosť varovala, že aj keď aplikácia nie je aktívne nainštalovaná v inštaláciách Confluence, stále môže byť zraniteľná. Odinštalovanie aplikácie automaticky nevylieči zraniteľnosť, pretože zakázaný systémový používateľský účet v systéme stále existuje.

Ak chcete zistiť, či je systém zraniteľný, Atlassian odporučil používateľom Confluence, aby hľadali účty s nasledujúcimi informáciami:

• užívateľ: pokazený systém
• užívateľské meno: pokazený systém
• E-mail: [email protected]

Atlassian poskytol ďalšie pokyny na nájdenie týchto účtov priamo tu. Zraniteľnosť ovplyvňuje vydanie Confluence Questions 2.7.xa 3.0.x. Atlassian ponúkol zákazníkom dva spôsoby, ako problém vyriešiť: zakázanie alebo odstránenie účtu „Disabled User“. Spoločnosť tiež zverejnila Tento zoznam odpovede na často kladené otázky.

Používatelia, ktorí hľadajú dôkaz o zneužití, môžu pomocou pokynov skontrolovať čas poslednej autentifikácie používateľa poškodeného systému priamo tu. Ak je výsledok prázdny, znamená to, že účet je v systéme, ale nikto sa s ním neprihlásil. Príkazy tiež zobrazujú všetky nedávne úspešné alebo neúspešné pokusy o prihlásenie.

„Teraz, keď sú záplaty vonku, možno očakávať, že opravné tímy a snahy o reverzné inžinierstvo vytvoria verejné POC v pomerne krátkom čase,“ napísal v priamej správe Casey Ellis, zakladateľ služby na hlásenie zraniteľností Bugcrowd. „Obchody Atlassian by mali okamžite začať s ladením produktov pre publikum a tých, ktorí sú za firewallom, čo najskôr. Komentáre v texte s odporúčaním neodporúčajúce žiadne filtrovanie servera proxy ako zmiernenie naznačujú, že existuje viacero operačných ciest.“

Ďalšie dve zraniteľnosti, ktoré Atlassian zverejnil v stredu, sú tiež závažné a ovplyvňujú nasledujúce produkty:

• Bambusový server a dátové centrum
• Bitbucket server a dátové centrum
• Konvergenčný server a dátové centrum
• Davový server a dátové centrum
• téglik
• Rybie oko
• Jira server a dátové centrum
• Server správy služieb Jira a dátové centrum

Tieto zraniteľnosti sú sledované ako CVE-2022-26136 a CVE-2022-26137, čo umožňuje vzdialeným a neovereným hackerom obísť servletové filtre používané aplikáciami prvej a tretej strany.

„Účinok závisí od toho, ktoré filtre jednotlivé aplikácie používajú a ako sa filtre používajú,“ uviedla spoločnosť Povedal. „Atlassian vydal aktualizácie, ktoré opravujú hlavnú príčinu tejto zraniteľnosti, ale neuvádzajú úplný zoznam všetkých možných dôsledkov tejto zraniteľnosti.“

Zraniteľné confluence servery boli vždy preferovaným dobytím pre hackerov, ktorí chceli nainštalovať ransomwareA kryptomínya iné typy malvéru. Chyby, ktoré Atlassian odhalil tento týždeň, sú natoľko závažné, že správcovia by mali uprednostniť dôkladnú kontrolu svojich systémov, ideálne pred začiatkom víkendu.