CISA advierte sobre un error de credencial codificada de Atlassian Confluence explotado en ataques


La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes adicional la falla de seguridad de Atlassian recientemente revelada en su catálogo de vulnerabilidades explotadas conocidas, según la evidencia de explotación activa.

La vulnerabilidad, rastreada como CVE-2022-26138, se refiere al uso de credenciales codificadas cuando la aplicación Questions For Confluence está habilitada en instancias de Confluence Server y Data Center.

La seguridad cibernética

“Un atacante remoto no autenticado puede usar estas credenciales para iniciar sesión en Confluence y acceder a todo el contenido accesible para los usuarios en el grupo de usuarios de confluence”, CISA notas en su aviso.

Confluencia de Atlassian

Según las restricciones de la página y la información que una empresa tiene en Confluence, la explotación exitosa de la deficiencia podría conducir a la divulgación de información confidencial.

Aunque la compañía de software Atlassian abordó el error la semana pasada en las versiones 2.7.38 y 3.0.5, desde entonces ha estado bajo explotación activa, según reveló esta semana la firma de ciberseguridad Rapid7.

La seguridad cibernética

“Los esfuerzos de explotación en este momento no parecen estar muy generalizados, aunque esperamos que eso cambie”, dijo a The Hacker News Erick Galinkin, investigador principal de IA en Rapid7.

“La buena noticia es que la vulnerabilidad está en la aplicación Questions for Confluence y no en Confluence, lo que reduce significativamente la superficie de ataque”.

Con la falla ahora agregada al catálogo, el Poder Ejecutivo Civil Federal (FCEB) en los EE. UU. tiene la obligación de aplicar parches antes del 19 de agosto de 2022 para reducir su exposición a los ataques cibernéticos.

“En este punto, la vulnerabilidad ha sido pública durante un período de tiempo relativamente corto”, señaló Galinkin. “Junto con la ausencia de actividad significativa posterior a la explotación, todavía no tenemos ningún actor de amenazas atribuido a los ataques”.



ttn-es-57