Ο κρυπτογραφημένος κωδικός Confluence διέρρευσε στο Twitter
Getty Images
Τι χειρότερο από μια ευρέως χρησιμοποιούμενη εταιρική εφαρμογή συνδεδεμένη στο Διαδίκτυο με κρυπτογραφημένο κωδικό πρόσβασης; Δοκιμάστε την εν λόγω εταιρική εφαρμογή αφού διαρρεύσετε τον κρυπτογραφημένο κωδικό πρόσβασης στον κόσμο.
Ο Atlassian αποκάλυψε την Τετάρτη Τρεις κρίσιμες αδυναμίες του προϊόντοςΣυμπεριλαμβανομένου CVE-2022-26138 Προέρχεται από έναν κωδικό πρόσβασης κρυπτογραφημένος στη μορφή Ερωτήσεις προς συνάντηση, μια εφαρμογή που επιτρέπει στους χρήστες να λαμβάνουν γρήγορα υποστήριξη για συχνές ερωτήσεις που σχετίζονται με προϊόντα Atlassian. Η εταιρεία προειδοποίησε ότι ο κωδικός πρόσβασης ήταν «τετριμμένος».
Η εταιρεία είπε ότι το πρόγραμμα Questions to Meet είχε 8.055 εγκαταστάσεις κατά τη στιγμή της δημοσίευσης. Κατά την εγκατάσταση, η εφαρμογή δημιουργεί έναν λογαριασμό χρήστη Confluence που ονομάζεται απενεργοποιημένος χρήστης, ο οποίος προορίζεται να βοηθήσει τους διαχειριστές να μετακινούν δεδομένα μεταξύ της εφαρμογής και της υπηρεσίας Confluence Cloud. Ο κρυπτογραφημένος κωδικός πρόσβασης που προστατεύει αυτόν τον λογαριασμό επιτρέπει την προβολή και την επεξεργασία όλων των σελίδων χωρίς περιορισμούς στο Confluence.
“Ένας απομακρυσμένος εισβολέας χωρίς έλεγχο ταυτότητας με γνώση του κρυπτογραφημένου κωδικού πρόσβασης θα μπορούσε να το εκμεταλλευτεί για να συνδεθεί στο Confluence και να αποκτήσει πρόσβαση σε όποιες σελίδες μπορεί να έχει πρόσβαση μια ομάδα χρηστών συρροής”, δήλωσε η εταιρεία. «Είναι σημαντικό να αντιμετωπιστεί άμεσα αυτή η ευπάθεια στα επηρεαζόμενα συστήματα».
Μια μέρα αργότερα, η Atlassian επέστρεψε για να αναφέρει ότι “ένα τρίτο μέρος είχε ανακαλύψει και αποκάλυψε δημόσια τον διαμορφωμένο κωδικό πρόσβασης στο Twitter”, ωθώντας την εταιρεία να κλιμακώσει τις προειδοποιήσεις της.
“Αυτό το ζήτημα είναι πιθανό να αξιοποιηθεί στη φύση τώρα που ο κρυπτογραφημένος κωδικός πρόσβασης είναι γνωστός στο κοινό”, αναφέρει το ενημερωμένο κείμενο του τρόπου χρήσης. “Αυτή η ευπάθεια στα συστήματα που επηρεάζονται πρέπει να αντιμετωπιστεί αμέσως.”
Η εταιρεία προειδοποίησε ότι ακόμα κι αν η εφαρμογή δεν είναι ενεργά εγκατεστημένη στις εγκαταστάσεις Confluence, θα μπορούσε να είναι ευάλωτη. Η απεγκατάσταση της εφαρμογής δεν θεραπεύει αυτόματα την ευπάθεια, επειδή ο απενεργοποιημένος λογαριασμός χρήστη συστήματος εξακολουθεί να υπάρχει στο σύστημα.
Για να διαπιστώσει εάν το σύστημα είναι ευάλωτο, η Atlassian συμβούλεψε τους χρήστες του Confluence να αναζητήσουν λογαριασμούς με τις ακόλουθες πληροφορίες:
- χρήστης: χαλασμένο σύστημα
- όνομα χρήστη: χαλασμένο σύστημα
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ: dontdeletethisuser@email.com
Η Atlassian έχει παράσχει περαιτέρω οδηγίες για τον εντοπισμό αυτών των λογαριασμών εδώ πέρα. Το θέμα ευπάθειας επηρεάζει την έκδοση των Ερωτήσεων συνύπαρξης 2.7.x και 3.0.x. Η Atlassian πρόσφερε δύο τρόπους στους πελάτες να επιλύσουν το πρόβλημα: απενεργοποίηση ή κατάργηση του λογαριασμού “Απενεργοποιημένος χρήστης”. Η εταιρεία δημοσίευσε επίσης Αυτή η λίστα απαντήσεις σε συχνές ερωτήσεις.
Η προσέλκυση χρηστών που αναζητούν στοιχεία εκμετάλλευσης μπορεί να ελέγξει τον τελευταίο χρόνο ελέγχου ταυτότητας του απενεργοποιημένου χρήστη του συστήματος χρησιμοποιώντας τις οδηγίες εδώ πέρα. Εάν το αποτέλεσμα είναι κενό, σημαίνει ότι ο λογαριασμός βρίσκεται στο σύστημα, αλλά κανείς δεν έχει συνδεθεί με αυτόν. Οι εντολές εμφανίζουν επίσης τυχόν πρόσφατες προσπάθειες σύνδεσης που ήταν επιτυχείς ή ανεπιτυχείς.
«Τώρα που κυκλοφόρησαν τα patches, μπορούμε να περιμένουμε ομάδες ενημέρωσης κώδικα και προσπάθειες αντίστροφης μηχανικής για την παραγωγή ενός δημόσιου POC σε αρκετά σύντομο χρονικό διάστημα», έγραψε σε ένα άμεσο μήνυμα ο Casey Ellis, ιδρυτής της υπηρεσίας αναφοράς ευπάθειας Bugcrowd. “Τα καταστήματα Atlassian θα πρέπει να ξεκινήσουν αμέσως τον εντοπισμό σφαλμάτων των προϊόντων που απευθύνονται στο κοινό και εκείνων που βρίσκονται πίσω από το τείχος προστασίας όσο το δυνατόν γρηγορότερα. Τα σχόλια στο συμβουλευτικό κείμενο που συνιστούν να μην υπάρχει φιλτράρισμα μεσολάβησης ως μετριασμός υποδηλώνουν ότι υπάρχουν πολλές διαδρομές λειτουργίας.”
Τα άλλα δύο τρωτά σημεία που αποκάλυψε η Atlassian την Τετάρτη είναι επίσης σοβαρά, επηρεάζοντας τα ακόλουθα προϊόντα:
- Διακομιστής Bamboo και κέντρο δεδομένων
- Διακομιστής Bitbucket και κέντρο δεδομένων
- Διακομιστής σύγκλισης και κέντρο δεδομένων
- Πλήθος διακομιστή και κέντρο δεδομένων
- χωνευτήριο
- Το μάτι του ψαριού
- Διακομιστής Jira και κέντρο δεδομένων
- Διακομιστής διαχείρισης υπηρεσιών Jira και κέντρο δεδομένων
Αυτά τα τρωτά σημεία παρακολουθούνται ως CVE-2022-26136 και CVE-2022-26137, δίνοντας τη δυνατότητα σε απομακρυσμένους και μη πιστοποιημένους χάκερ να παρακάμψουν τα φίλτρα Servlet που χρησιμοποιούνται από εφαρμογές πρώτου και τρίτου μέρους.
«Το αποτέλεσμα εξαρτάται από τα φίλτρα που χρησιμοποιεί κάθε εφαρμογή και τον τρόπο χρήσης των φίλτρων», αναφέρει η εταιρεία Αυτός είπε. “Η Atlassian κυκλοφόρησε ενημερώσεις που διορθώνουν τη βασική αιτία αυτής της ευπάθειας, αλλά δεν έχουν καταγράψει αναλυτικά όλες τις πιθανές συνέπειες αυτής της ευπάθειας.”
Οι ευάλωτοι διακομιστές συρροής ήταν πάντα η προτιμώμενη υποδοχή για τους χάκερ που θέλουν να εγκαταστήσουν ransomwareΚαι το cryptominersκαι άλλους τύπους κακόβουλου λογισμικού. Τα τρωτά σημεία που αποκάλυψε η Atlassian αυτή την εβδομάδα είναι αρκετά σοβαρά ώστε οι διαχειριστές θα πρέπει να δώσουν προτεραιότητα σε μια ενδελεχή αναθεώρηση των συστημάτων τους, ιδανικά πριν από την έναρξη του Σαββατοκύριακου.
“Τηλεοπτικός γκουρού. Υποστηρικτής της ζόμπι. Οπαδός του διαδικτύου. Πιστοποιημένος μπύρας. Υπερήφανος αναγνώστης. Φανταστικός αλκοόλ. Βραβευμένος επιχειρηματίας.”