Atlassian, Confluence Server ve Confluence Data Center için Questions For Confluence uygulamasında kritik bir kusur içeren yamalar yayınladıktan bir hafta sonra, eksiklik artık vahşi ortamda aktif olarak sömürülmeye başlandı.
Söz konusu hata, uygulamada, Confluence’daki tüm sayfalara sınırsız erişim elde etmek için kimliği doğrulanmamış bir saldırgan tarafından istismar edilebilecek, uygulamada sabit kodlanmış bir parolanın kullanılmasıyla ilgili olan CVE-2022-26138’dir.
Gerçek dünya istismarı, sabit kodlanmış kimlik bilgilerinin Twitter’da yayınlanmasını takip ederek Avustralyalı yazılım şirketini kusuru hedefleyen potansiyel tehditleri azaltmak için yamaları önceliklendirmeye yönlendiriyor.
“Şaşırtıcı olmayan bir şekilde, uzun sürmedi […] Rapid7 güvenlik araştırmacısı Glenn Thorpe, “Fidye yazılımı saldırıları yürütmek için genellikle Confluence güvenlik açıklarına atlayan saldırganlar için Confluence’ın yüksek değeri göz önüne alındığında, sabit kodlanmış kimlik bilgileri serbest bırakıldıktan sonra istismarı gözlemlemek için” dedi.
Hatanın yalnızca Confluence için Sorular uygulaması etkinleştirildiğinde ortaya çıktığını belirtmekte fayda var. Bununla birlikte, Confluence için Sorular uygulamasının kaldırılması, uygulama kaldırıldıktan sonra oluşturulan hesap otomatik olarak kaldırılmadığından kusuru düzeltmez.
Etkilenen ürünün kullanıcılarının, şirket içi örneklerini mümkün olan en kısa sürede en son sürümlere (2.7.38 ve 3.0.5) güncellemeleri veya hesabı devre dışı bırakmak/silmek için adımlar atmaları önerilir.
Gelişme aynı zamanda Palo Alto Networks’ün 2022 Birim 42 Olay Müdahale Raporunda, tehdit aktörlerinin yeni bir güvenlik açığının kamuya açıklanmasından sonraki 15 dakika içinde savunmasız uç noktaları taradığını tespit etmesiyle geldi.