ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Cuma günü, aktif istismarın kanıtlarına dayanarak, yakın zamanda açıklanan Atlassian güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna ekledi.
CVE-2022-26138 olarak izlenen güvenlik açığı, Confluence Server ve Data Center örneklerinde Questions For Confluence uygulaması etkinleştirildiğinde sabit kodlanmış kimlik bilgilerinin kullanılmasıyla ilgilidir.
CISA, danışma belgesinde “Kimliği doğrulanmamış uzak bir saldırgan, Confluence’ta oturum açmak ve confluence-users grubundaki kullanıcıların erişebildiği tüm içeriğe erişmek için bu kimlik bilgilerini kullanabilir.”
Sayfa kısıtlamalarına ve bir şirketin Confluence’ta sahip olduğu bilgilere bağlı olarak, eksikliğin başarılı bir şekilde kullanılması, hassas bilgilerin ifşa edilmesine yol açabilir.
Hata, Atlassian yazılım şirketi tarafından geçen hafta 2.7.38 ve 3.0.5 sürümlerinde ele alınmış olsa da, siber güvenlik firması Rapid7’nin bu hafta yaptığı açıklamada, o zamandan beri aktif olarak istismar edildiğini açıkladı.
Rapid7 baş yapay zeka araştırmacısı Erick Galinkin, The Hacker News’e verdiği demeçte, “Bu noktada sömürü çabaları çok yaygın görünmüyor, ancak bunun değişmesini bekliyoruz.”
“İyi haber şu ki, güvenlik açığı Confluence için Sorular uygulamasında ve olumsuzluk Saldırı yüzeyini önemli ölçüde azaltan Confluence’ın kendisinde.”
Artık kataloğa eklenen kusurla birlikte, ABD’deki Federal Sivil Yürütme Şubesi (FCEB), siber saldırılara maruz kalmalarını azaltmak için 19 Ağustos 2022’ye kadar yamalar uygulamakla görevlendirildi.
Galinkin, “Bu noktada, güvenlik açığı nispeten kısa bir süredir kamuya açık durumda” dedi. “Anlamlı bir sömürü sonrası faaliyetin olmamasıyla birleştiğinde, henüz saldırılara atfedilen herhangi bir tehdit aktörümüz yok.”