Atlassian Perşembe günü, Questions for Confluence uygulamasını kullanan kuruluşları, yazılımın en son sürümünü hemen güncellemeye veya üründeki kritik bir güvenlik açığına karşı korumak için bir azaltma önlemi uygulamaya çağırdı – bu hafta satıcı tarafından açıklanan üç kritik hatadan biri.
“Şimdi yama” tavsiyesi, uzak, kimliği doğrulanmamış bir saldırgana Confluence’da oturum açma ve daha geniş anlamda tüm içeriğe erişme yolu sağlayan Sorular uygulamasıyla ilişkili sabit kodlanmış bir parolanın kamuya açıklanmasıyla istendi. confluence-users
grup.
Birçok kuruluş, şirket içi ve uzak konumlara dağılmış ekipler arasında proje yönetimi ve işbirliği için Confluence’ı kullanır. Confluence ortamları genellikle bir kuruluşun üzerinde çalışıyor olabileceği projeler veya müşterileri ve ortakları hakkında hassas verileri barındırabilir.
Bu arada Sorular uygulaması, belirli bir çalışma alanı içinde bir Soru-Cevap/kitle kaynağı işlevine izin verir.
Sorun öncelikle, uygulamanın Confluence Sunucusu ve Veri Merkezi için Sorular 2.7.34, 2.7.35 ve 3.0.2 sürümlerini kullanan kuruluşları etkiler. Ancak Atlassian, Confluence’ın diğer sürümlerini kullanan kuruluşların bile potansiyel olarak etkilenebileceğini söyledi. Güvenlik açığı, Confluence Cloud için Questions for Confluence uygulamasını etkilemez.
İstismarlar için Hazırlama
Atlassian, “Sorunun, sabit kodlanmış parolanın herkes tarafından bilindiği için vahşi ortamda istismar edilmesi muhtemeldir” diye uyardı. “Bu güvenlik açığı (CVE-2022-26138) etkilenen sistemlerde derhal düzeltilmelidir,” dedi satıcı.
Atlassian Çarşamba günü hatayı açıkladı. Şirket, sorunun Confluence Data Center veya Confluence Server’da Questions for Confluence uygulaması etkinleştirildiğinde oluşturulan Confluence kullanıcı hesabından kaynaklandığını açıkladı. Kullanıcı hesabı — kullanıcı adıyla “disabledsystemuser
” — yöneticilerin bu uygulamalardan Confluence Cloud’a veri taşımasına yardımcı olmak için tasarlanmıştır.
Ancak hesap, sisteme eklenen sabit kodlanmış bir parola ile oluşturulur. confluence-users
grup. Atlassian’a göre bu, saldırganların varsayılan olarak Confluence kullanıcı grubu içindeki tüm kısıtlanmamış sayfaları görüntülemesine ve düzenlemesine olanak tanır. Yazılım satıcısı, bu nedenle, parola bilgisi olan herhangi bir saldırganın Confluence işbirliği ortamına uzaktan giriş yapabileceğini ve gruptaki diğer kullanıcıların erişebildiği her türlü içeriğe erişebileceğini söyledi.
Atlassian’ın Çarşamba günü verdiği tavsiyeden kısa bir süre sonra, bir güvenlik araştırmacısı Twitter’da şifreli şifreAtlassian’ın Perşembe günü acil güncellemesini istiyor.
Şirketin danışma belgesi, kuruluşların güvenlik açığından etkilenip etkilenmediklerini veya kusuru hedefleyen bir istismar yoluyla zaten tehlikeye girip girmediklerini nasıl belirleyebileceklerine ilişkin ayrıntılar sağladı. Atlassian, kuruluşları yazılımın 2.7.38 veya 3.0.5 sürümlerine güncellemeye veya devre dışı bırakılan sistem kullanıcı hesabını devre dışı bırakmaya veya silmeye çağırdı.
Atlassian, daha da önemlisi, yalnızca Confluence için Sorular uygulamasını kaldırmanın güvenlik açığını gidermeyeceğini çünkü devre dışı bırakılan sistem kullanıcı hesabının uygulama kaldırıldıktan sonra da yerinde kalacağı konusunda uyardı.
Diğer İki Kritik Güvenlik Açıklığı
Açıklanan diğer iki kritik güvenlik açığı (CVE-2022-26136
ve CVE-2022-26137) neredeyse tüm Atlassian ürünlerinin birden fazla versiyonunda bulunur. Bunlar arasında Bamboo Sunucusu ve Veri Merkezi, Bitbucket Sunucusu ve Veri Merkezi, Confluence Sunucusu ve Veri Merkezi, Crowd Sunucusu ve Veri Merkezi, Jira Sunucusu ve Veri Merkezi ve Jira Hizmet Yönetim Sunucusu ve Veri Merkezi bulunmaktadır.
CVE-2022-26136, bir istemciden ve bir arka uç sisteminden gelen HTTP isteklerini ele geçirmek ve işlemek için Java kodunda Servlet Filter adlı bir kimlik doğrulama atlama güvenlik açığıdır. Güvenlik açığı, saldırganlara, üçüncü taraf uygulamaların kimlik doğrulamasını zorlamak için kullanabileceği Servlet Filtrelerini atlamak için özel olarak hazırlanmış bir HTTP isteği kullanma yolu sağlar.
Aynı güvenlik açığı, saldırganların, kullanıcıları, kullanıcının tarayıcısında rastgele JavaScript çalıştırmaları için kandırmak için özel hazırlanmış HTTP isteklerini kullanmasına da olanak tanır.
Atlassian, bu tür saldırıların mümkün olduğunu doğruladığını, ancak sorundan etkilenebilecek tüm üçüncü taraf uygulamalarını hala belirleyemediğini söyledi.
CVE-2022-26137 olarak izlenen kusur, Servlet Filter’da da bulunur ve uzaktaki, kimliği doğrulanmamış saldırganlara, kullanıcıları kötü niyetli bir URL istemeleri için kandırmak için özel olarak hazırlanmış bir HTTP isteği kullanarak savunmasız uygulamalara erişmenin bir yolunu sunar. Atlassian, bu güvenlik açıklarını gidermek için etkilenen tüm ürünler için yazılımının güncellenmiş sürümlerini yayınladı.
Atlassian’ın Devam Eden Siber Güvenlik Sorunları
En son kusurlar, Atlassian’ın teknolojisini kullanan kuruluşların son iki ayda ikinci kez ürünlerindeki ciddi kusurları düzeltmek için mücadele etmeye zorlandığını gösteriyor.
Haziran ayının başlarında şirket, Confluence Server ve Data Center’ın desteklenen tüm sürümlerini etkileyen kritik bir uzaktan kod yürütme güvenlik açığını (RCE) açıkladı. Böcek (CVE-2022-26134) kimliği doğrulanmamış saldırganlara, etkilenen sistemlere bir Web kabuğu bırakmanın bir yolunu verdi. Şirket bunun için bir düzeltme yayınladığı sırada tehdit aktörleri onu kullanmaya başlamış olduğu için önemli bir endişe yarattı.
Saldırganlar, Mirai bot çeşitleri, kripto madencileri, fidye yazılımı ve Cobalt Strike saldırı sonrası saldırı kiti dahil olmak üzere çeşitli kötü amaçlı yazılımları dağıtmak için kusurdan hızla yararlanmaya başladı. Saldırıların çoğu doğası gereği otomatikti.
Barracuda tarafından yapılan bir analiz, güvenlik açığından yararlanma girişimlerinin %45’inin Rusya merkezli IP adreslerinden yapıldığını gösterdi; Açıklardan yararlanma saldırılarının yüzde 25’i ABD’dendi; ve %11’i Hindistan’daki IP adreslerinden kaynaklanmaktadır.