Бесплатно Экспресс-аудит сайта:

26.07.2022

Произошла утечка жестко закодированного пароля Atlassian Confluence

Atlassian призвала клиентов немедленно исправить критическую уязвимость, которая предоставляет удаленному злоумышленнику жестко закодированные учетные данные для входа на неисправленные серверы Confluence Server и Data Center. По словам Atlassian, приложение Questions for Confluence создает учетную запись disabledsystemuser с жестко закодированным паролем, чтобы помочь администраторам перенести данные из приложения в Confluence Cloud.

На следующий день после выпуска исправлений для уязвимости CVE-2022-26138 Atlassian предупредил администраторов о необходимости срочно исправить свои серверы , поскольку жестко закодированный пароль был раскрыт и опубликован в сети.

По словам фирмы, эта проблема теперь будет использоваться злоумышленниками, так как пароль стал общеизвестным. Киберпреступники могут использовать пароль для входа на уязвимые серверы Confluence и получения доступа к любым страницам группы Confluence-users. Кроме того, Atlassian ранее предупреждал пользователей, что пароль «несложно получить после загрузки и просмотра уязвимых версий приложения».

Для защиты от потенциальной атаки Atlassian порекомендовал обновиться до исправленной версии Questions for Confluence или отключить/удалить учетную запись disabledsystemuser. Обновление приложения Questions for Confluence до версии 3.0.5 удалит уязвимую учетную запись пользователя.

Если вы хотите определить, подвержен ли сервер уязвимости, вам необходимо проверить активную учетную запись пользователя со следующей информацией:

  • Пользователь: disabledsystemuser
  • Имя пользователя: disabledsystemuser
  • Электронная почта: dontdeletethisuser@email.com

Чтобы найти доказательства эксплуатации, вы можете проверить время последней аутентификации для disabledsystemuser с помощью инструкций . Если результат равен «nul, учетная запись существует в системе, но никто еще не вошел с ее помощью. Однако, удаление приложения Questions for Confluence на затронутых серверах не удалит вектор атаки, а неисправленные системы останутся уязвимыми для атак.