Atlassian’ın Confluence işbirliği platformunun kullanıcılarını etkileyen yeni açıklanan bir güvenlik açığı, kötü niyetli bir aktörün bir kuruluşun Confluence örneğindeki tüm kısıtlanmamış sayfalara uzaktan erişmesine izin verebilir ve hemen düzeltilmelidir.
CVE-2022-26138 olarak izlenen güvenlik açığı 20 Temmuz 2022 Çarşamba günü açıklandı. Confluence Sunucusunda veya Veri Merkezinde etkinleştirildiğinde, sabit kodlanmış bir parolayla bir Confluence kullanıcı hesabı oluşturan Confluence için Sorular uygulamasında bulunur. yöneticilerin uygulamadan Confluence Cloud’a veri taşımasına yardımcı olun. Bu hesabın varsayılan olarak Confluence’daki tüm kısıtlanmamış sayfaları görüntülemesine ve düzenlemesine izin verilir.
Kötü niyetli bir aktör bu sabit kodlanmış parola hakkında bilgi sahibi olacaksa, Confluence’a giriş yapmak ve hesabın erişebildiği tüm sayfalara erişmek için bu parolayı uzaktan kullanabilir. Sabit kodlanmış parola o zamandan beri keşfedildi ve Twitter’da kamuya açıklandı, bu da CVE-2022-26138’i kısa sürede yararlanılacak kritik bir sorun haline getirdi.
Atlassian’a göre, aşağıdaki bilgilerden herhangi birine sahip aktif bir kullanıcı hesabına sahip olan bir Confluence Sunucusu veya Veri Merkezi örneği etkilenir:
Etkilenen kullanıcıların iki seçeneği vardır – ilk olarak, Confluence için Sorular’ın güvenlik açığı olmayan bir sürümüne güncelleme yapmak veya ayrıcalıklı hesabı devre dışı bırakmak veya silmek. Bu eylemlerin her ikisi hakkında daha fazla ayrıntı burada bulunabilir.
Bugcrowd’un kurucusu Casey Ellis şu yorumu yaptı: “Bu, istismar edilecek önemsiz bir hata ve bu nedenle acil bir yama veya hafifletme. Güvenlik açığı, buradaki etkinin yayılmasını sınırlayacak olan Confluence için Sorular uygulamasının yüklenmesini gerektiriyor, ancak genel olarak, Confluence çalıştıran herkes potansiyel bir sorun olduğunu varsaymalıdır, danışma belgesini okumalıdır – bence Atlassian bunu yaptı. kullanıcılarının maruziyeti belirleme görevini basitleştirmelerine ve buna göre hareket etmelerine yardımcı olma konusunda harika bir iş çıkardı.
Haziran güvenlik açığı
Ne yazık ki, CVE-2022-26138, Haziran ayında CVE-2022-26134’ün açıklanmasının ardından Confluence’ta son aylarda ortaya çıkarılan ikinci büyük güvenlik açığıdır.
Bu, Confluence Sunucusu ve Veri Merkezi’nde, istismar edildiğinde kimliği doğrulanmamış bir saldırganın etkilenen bir örnek üzerinde rasgele kod yürütmesine olanak tanıyan bir uzaktan kod yürütme güvenlik açığıdır.
Akamai, Confluence’ın yaygın popülaritesinin hizmetteki güvenlik açıklarından yararlanmayı özellikle kötü oyuncular için nasıl çekici hale getirdiğinin bir gösteriminde, piyasaya sürüldükten sonraki ilk günlerde günde yaklaşık 100.000 istismar girişimi gördüğünü ve Haziran sonunda günde 20.000’e düştüğünü bildirdi. %50’si Akamai tarafından zaten tanımlanmış olan yaklaşık 6.000 kötü amaçlı IP’den.
Akamai, kötü niyetli web kabukları, kötü amaçlı yazılımlar ve yasadışı kripto madencilerinin teslimi de dahil olmak üzere güvenlik açığı yoluyla ortaya çıkan çok sayıda farklı siber saldırı gözlemlediğini söyledi.
Bu açıklamaya ek olarak, Rapid7’nin tehdit istihbarat ekibi, Rusça XSS forumunda CVE-2022-26134 aracılığıyla elde ettikleri 50 kurumsal ağa kök erişimi satan bir kullanıcı buldu. Göre Kayıtaynı komisyoncu ayrıca 10.000’e kadar savunmasız Atlassian müşterisine erişimi olduğunu iddia etti.
