Avustralyalı yazılım firması Atlassian, müşterileri, uzaktaki saldırganlara yama uygulanmamış Confluence Sunucusu ve Veri Merkezi sunucularında oturum açmak için sabit kodlanmış kimlik bilgileri sağlayan kritik bir güvenlik açığını hemen düzeltmeleri konusunda uyardı.
Şirketin bu hafta açıkladığı gibi, Questions for Confluence uygulaması (8.000’den fazla sunucuya yüklendi) devre dışı sistem kullanıcısı yöneticilerin uygulamadan Confluence Cloud’a veri taşımasına yardımcı olmak için sabit kodlanmış bir parola ile hesap oluşturun.
Atlassian, güvenlik açığını gidermek için güvenlik güncellemelerini yayınladıktan bir gün sonra (CVE-2022-26138 olarak izlenir), sabit kodlanmış parolanın bulunup çevrimiçi paylaşıldığı göz önüne alındığında, yöneticileri sunucularını mümkün olan en kısa sürede düzeltmeleri konusunda uyardı.
“Harici bir taraf Twitter’da sabit kodlanmış parolayı keşfetti ve herkese açık olarak açıkladı. Bu güvenlik açığını etkilenen sistemlerde derhal düzeltmek önemlidir.” Şirket Perşembe günü uyardı.
“Bu sorun, sabit kodlanmış parolanın herkes tarafından bilindiği için vahşi doğada kötüye kullanılması muhtemeldir.”
Uyarı hem zamanında hem de gereklidir çünkü bu bilgiyle donatılmış tehdit aktörleri bunu savunmasız Confluence sunucularında oturum açmak ve confluence kullanıcıları grubunun erişebildiği sayfalara erişmek için kullanabilir.
Ayrıca Atlassian, kullanıcıları “uygulamanın etkilenen sürümlerini indirip inceledikten sonra şifrenin elde edilmesinin önemsiz olduğu” konusunda uyardığı için bu şaşırtıcı değil.
Sömürü kanıtı için yama ve kontrol
Potansiyel saldırılara karşı savunmak için Atlassian, Sorular için Confluence’ın yamalı bir sürümüne güncelleme yapılmasını veya devre dışı sistem kullanıcısı hesap.
Confluence için Sorular uygulamasının sabit bir sürüme güncellenmesi (2.7.x >= 2.7.38 sürümleri veya 3.0.5’ten büyük sürümler) varsa, sorunlu kullanıcı hesabını kaldırır.
Bir sunucunun bu sabit kodlanmış kimlik bilgileri güvenlik açığından etkilenip etkilenmediğini belirlemek istiyorsanız, aşağıdaki bilgilerle etkin bir kullanıcı hesabı olup olmadığını kontrol etmeniz gerekir:
- kullanıcı: disablesystemuser
- Kullanıcı adı: disablesystemuser
- E-posta: [email protected]
İstismar kanıtı aramak için, son kimlik doğrulama zamanını kontrol edebilirsiniz. devre dışı sistem kullanıcısı aşağıdaki talimatları kullanarak. sonuç ise hükümsüzhesap sistemde var, ancak henüz kimse onu kullanarak oturum açmadı.
Ayrıca, Confluence için Sorular uygulamasının etkilenen sunucularda kaldırılmasının saldırı vektörünü (yani, sabit kodlanmış kimlik bilgilerini) kaldırmayacağını ve yama uygulanmamış sistemlerin saldırılara açık kalacağını belirtmek önemlidir.
Confluence sunucuları, Linux botnet kötü amaçlı yazılımları, AvosLocker ve Cerber2021 fidye yazılımı ve kripto madencileri ile yapılan önceki saldırılarda gösterildiği gibi, tehdit aktörleri için çekici hedeflerdir.