Az ausztrál Atlassian szoftvercég vészhelyzeti frissítést adott ki egy kiszivárgott beégetett felhasználónév-jelszó páros miatt, ami fenyegetési szereplők számára lehetővé teszi, hogy távolról bejelentkezzenek sérülékeny Confluence Server és Data Center szerverekre. A Confluence szerverek kedvelt támadási célpontok, emiatt ─ és a sérülékenység jellegéből adódóan ─ nagyon valószínű, hogy fenyegetési szereplők megpróbálják ki is használni a sebezhetőséget.
A CVE-2022-26138 azonosító alatt jegyzett biztonsági hiba a Questions for Confluence applikációt érinti, ami az Atlassian Marketplace alapján több, mint 8000 szerverre van telepítve. Amint a gyártói közleményből kiderül, az alkalmazás engedélyezésekor létrehoz egy disabledsystemuser nevű felhasználói fiókot, amit automatikusan hozzáad a confluence-users csoporthoz, ezzel bármelyik nem korlátozott Confluence oldal írható-olvasható általa.
A fiókhoz, mint kiderült, tartozik egy beépített jelszó, ami kiszivárgott a Twitteren. Egy támadó ennek a jelszónak az ismeretében a sérülékenységben érintett, távolról elérhető Confluence szervereken hitelesítés nélkül hozzáférhet minden, a confluence-users csoport számára elérhető adathoz.
Fontos frissítési információk
A gyártó felhívja a figyelmet, hogy azon Confluence szerverek is érintettek lehetnek, amelyek nem tartalmazzák a Questions app sérülékeny verzióit, ezért minden Conflence szerver esetében javasolt kivizsgálni az esetleges érintettséget. Kiemelendő, hogy az applikáció uninstallálása önmagában nem nyújt védelmet a sérülékenység ellen, javasolt a legújabb verzió telepítése, majd az automatikus frissítés engedélyezése.
A sérülékenységben érintett verziók:
Questions for Confluence 2.7.34, 2.7.35
Questions for Confluence 3.0.2
Hibajavítás ─ amely eltávolítja a beépített fiókot ─ a 2.7.38 és 3.0.5 (és ezeknél magasabb) verziókban érhető el.
Amennyiben a biztonsági frissítés telepítése nem lehetséges ─ a gyártói közlemény szerint ez előfordulhat, ha a Confluence írásvédett külső könyvtár (pl. Atlassian Crowd) használatára van beállítva ─, akkor a 2. lehetőséget kell követni, azaz manuálisan kell megkeresni az inkriminált felhasználói fiókot, és letiltani vagy törölni azt.
Az érintettség megállapítása
Confluence szerverünk érintett a sebezhetőségben, amennyiben rendelkezik az alábbi aktív felhasználói fiókkal:
User: disabledsystemuser
Username: disabledsystemuser
E-mail: dontdeletethisuser@email.com
Az illetéktelen hozzáférés megállaptásához az utolsó bejelentkezés idejét kell ellenőrizni, amihez itt található gyártói instrukció. Amennyiben a disabledsystemuserhez tartozó érték “null”, a fiók bár rendelkezésre áll a rendszeren, azzal nem történt aktív bejelentkezés.