La contraseña codificada en la aplicación Confluence se filtró en Twitter
La contraseña codificada en la aplicación Confluence se filtró en Twitter
Expand
imágenes falsas
¿Qué es peor que una aplicación corporativa conectada a Internet y ampliamente utilizada con una contraseña codificada? Pruebe dicha aplicación comercial después de que la contraseña codificada se filtre al mundo.
El miércoles, Atlassian reveló tres vulnerabilidades críticas de productos, incluida la CVE-2022-26138 que resulta de una contraseña codificada en Preguntas para Confluence, una aplicación que permite a los usuarios recibir asistencia rápidamente con preguntas comunes sobre los productos de Atlassian. La empresa advirtió que el código de acceso era "fácil de conseguir".
La empresa dijo que Questions for Confluence tenía 8055 instalaciones en el momento de la publicación. Una vez instalada, la aplicación crea una cuenta de usuario de Confluence llamada disabledsystemuser, para ayudar a los administradores a mover datos entre la aplicación y el servicio Confluence Cloud. La contraseña codificada que protege esta cuenta permite ver y editar todas las páginas de Confluence sin restricciones.
"Un atacante remoto no autenticado que conozca la contraseña codificada podría explotar esto para iniciar sesión en Confluence y obtener acceso a todas las páginas a las que tiene acceso el grupo de usuarios de Confluence", dijo la compañía. "Es importante abordar de inmediato esta vulnerabilidad en los sistemas afectados".
Un día después, Atlassian volvió a informar que "una parte externa descubrió y divulgó públicamente la contraseña codificada en Twitter", lo que llevó a la empresa a reforzar sus advertencias.
“Es probable que este problema se aproveche ahora que la contraseña codificada se conoce públicamente”, se lee en el aviso actualizado. "Esta vulnerabilidad debe abordarse de inmediato en los sistemas afectados".
La empresa advirtió que incluso cuando las instalaciones de Confluence no hayan instalado activamente la aplicación, aún pueden ser vulnerables. La desinstalación de la aplicación no corrige automáticamente la vulnerabilidad porque la cuenta de usuario del sistema deshabilitado aún puede residir en el sistema.
Para determinar si un sistema es vulnerable, Atlassian aconsejó a los usuarios de Confluence que busquen cuentas con la siguiente información:
Usuario: usuario del sistema deshabilitado
Nombre de usuario: disabledsystemuser
Correo electrónico: dontdeletethisuser@email.com
Atlassian ha proporcionado más instrucciones para localizar estas cuentas aquí. La vulnerabilidad afecta a las versiones 2.7.x y 3.0.x de Questions for Confluence. Atlassian proporcionó dos formas para que los clientes resolvieran el problema: deshabilitar o eliminar la cuenta "disabledsystemuser". La compañía también ha publicado esta lista de respuestas a preguntas frecuentes.
Los usuarios de Confluence que busquen pruebas de explotación pueden verificar la hora de la última autenticación para disabledsystemuser siguiendo las instrucciones aquí. Si el resultado es cero, la cuenta existe en el sistema, pero nadie ha iniciado sesión usándola todavía. Los comandos también muestran todos los intentos de inicio de sesión recientes que han tenido éxito o han fallado.
"Ahora que los parches están disponibles, se puede esperar que la diferenciación de parches y los esfuerzos de ingeniería inversa produzcan un POC público en un tiempo relativamente corto", escribió Casey Ellis, fundador del servicio que informa sobre las vulnerabilidades de Bugcrowd, en un mensaje directo. “Las tiendas Atlassian deben parchear de inmediato los productos destinados al público y los que están detrás del firewall lo más rápido posible. Los comentarios del aviso que recomiendan no usar el filtrado de proxy como medida de mitigación sugieren que existen múltiples vías para la activación.
Las otras dos vulnerabilidades reveladas por Atlassian el miércoles también son graves y afectan a los siguientes productos:
Servidor y centro de datos Bamboo
Servidor Bitbucket y centro de datos
Servidor y centro de datos de Confluence
Servidor de multitudes y centro de datos
Crisol
¿Qué es peor que una aplicación corporativa conectada a Internet y ampliamente utilizada con una contraseña codificada? Pruebe dicha aplicación comercial después de que la contraseña codificada se filtre al mundo.
El miércoles, Atlassian reveló tres vulnerabilidades críticas de productos, incluida la CVE-2022-26138 que resulta de una contraseña codificada en Preguntas para Confluence, una aplicación que permite a los usuarios recibir asistencia rápidamente con preguntas comunes sobre los productos de Atlassian. La empresa advirtió que el código de acceso era "fácil de conseguir".
La empresa dijo que Questions for Confluence tenía 8055 instalaciones en el momento de la publicación. Una vez instalada, la aplicación crea una cuenta de usuario de Confluence llamada disabledsystemuser, para ayudar a los administradores a mover datos entre la aplicación y el servicio Confluence Cloud. La contraseña codificada que protege esta cuenta permite ver y editar todas las páginas de Confluence sin restricciones.
"Un atacante remoto no autenticado que conozca la contraseña codificada podría explotar esto para iniciar sesión en Confluence y obtener acceso a todas las páginas a las que tiene acceso el grupo de usuarios de Confluence", dijo la compañía. "Es importante abordar de inmediato esta vulnerabilidad en los sistemas afectados".
Un día después, Atlassian volvió a informar que "una parte externa descubrió y divulgó públicamente la contraseña codificada en Twitter", lo que llevó a la empresa a reforzar sus advertencias.
“Es probable que este problema se aproveche ahora que la contraseña codificada se conoce públicamente”, se lee en el aviso actualizado. "Esta vulnerabilidad debe abordarse de inmediato en los sistemas afectados".
La empresa advirtió que incluso cuando las instalaciones de Confluence no hayan instalado activamente la aplicación, aún pueden ser vulnerables. La desinstalación de la aplicación no corrige automáticamente la vulnerabilidad porque la cuenta de usuario del sistema deshabilitado aún puede residir en el sistema.
Para determinar si un sistema es vulnerable, Atlassian aconsejó a los usuarios de Confluence que busquen cuentas con la siguiente información:
Usuario: usuario del sistema deshabilitado
Nombre de usuario: disabledsystemuser
Correo electrónico: dontdeletethisuser@email.com
Atlassian ha proporcionado más instrucciones para localizar estas cuentas aquí. La vulnerabilidad afecta a las versiones 2.7.x y 3.0.x de Questions for Confluence. Atlassian proporcionó dos formas para que los clientes resolvieran el problema: deshabilitar o eliminar la cuenta "disabledsystemuser". La compañía también ha publicado esta lista de respuestas a preguntas frecuentes.
Los usuarios de Confluence que busquen pruebas de explotación pueden verificar la hora de la última autenticación para disabledsystemuser siguiendo las instrucciones aquí. Si el resultado es cero, la cuenta existe en el sistema, pero nadie ha iniciado sesión usándola todavía. Los comandos también muestran todos los intentos de inicio de sesión recientes que han tenido éxito o han fallado.
"Ahora que los parches están disponibles, se puede esperar que la diferenciación de parches y los esfuerzos de ingeniería inversa produzcan un POC público en un tiempo relativamente corto", escribió Casey Ellis, fundador del servicio que informa sobre las vulnerabilidades de Bugcrowd, en un mensaje directo. “Las tiendas Atlassian deben parchear de inmediato los productos destinados al público y los que están detrás del firewall lo más rápido posible. Los comentarios del aviso que recomiendan no usar el filtrado de proxy como medida de mitigación sugieren que existen múltiples vías para la activación.
Las otras dos vulnerabilidades reveladas por Atlassian el miércoles también son graves y afectan a los siguientes productos:
Servidor y centro de datos Bamboo
Servidor Bitbucket y centro de datos
Servidor y centro de datos de Confluence
Servidor de multitudes y centro de datos
Crisol
Expand
imágenes falsas
