0
0
A Atlassian pediu na quinta-feira que as organizações que usam seu aplicativo Questions for Confluence atualizem imediatamente para a versão mais recente do software ou apliquem uma medida de mitigação para proteger contra uma vulnerabilidade crítica no produto – um dos três bugs críticos divulgados pelo fornecedor esta semana.
O conselho de “corrigir agora” foi solicitado pela divulgação pública de uma senha codificada associada ao aplicativo Perguntas que fornece a um invasor remoto e não autenticado uma maneira de fazer login no Confluence e acessar todo o conteúdo do confluence-usersgrupo mais amplo.
Muitas organizações usam o Confluence para gerenciamento de projetos e colaboração entre equipes espalhadas por locais locais e remotos. Muitas vezes, os ambientes do Confluence podem armazenar dados confidenciais em projetos nos quais uma organização pode estar trabalhando ou em seus clientes e parceiros.
Enquanto isso, o aplicativo Perguntas permite uma função de perguntas e respostas/crowdsourcing em um determinado espaço de trabalho.
O problema afeta principalmente as organizações que usam o Questions para Confluence Server e Data Center versões 2.7.34, 2.7.35 e 3.0.2 do aplicativo. No entanto, mesmo as organizações que usam outras versões do Confluence podem ser afetadas, disse a Atlassian. A vulnerabilidade não afeta o aplicativo Questions for Confluence para Confluence Cloud.
Preparando-se para Exploits
“É provável que o problema seja explorado em estado selvagem agora que a senha codificada é conhecida publicamente”, alertou a Atlassian. “Esta vulnerabilidade ( CVE-2022-26138 ) deve ser corrigida nos sistemas afetados imediatamente”, disse o fornecedor.
A Atlassian divulgou o bug na quarta-feira. A empresa descreveu o problema como resultado de uma conta de usuário do Confluence que é criada quando o aplicativo Questions for Confluence é ativado no Confluence Data Center ou no Confluence Server. A conta de usuário — com o nome de usuário ” disabledsystemuser” — foi projetada para ajudar os administradores a migrar dados desses aplicativos para o Confluence Cloud.
Mas a conta é criada com uma senha codificada que é adicionada ao confluence-usersgrupo. Isso permite que os invasores visualizem e editem todas as páginas não restritas dentro do grupo de usuários do Confluence por padrão, de acordo com a Atlassian. Assim, qualquer invasor com conhecimento da senha pode fazer login remotamente no ambiente de colaboração do Confluence e acessar qualquer conteúdo que outros usuários do grupo possam acessar, disse o fornecedor do software.
Logo após o aviso da Atlassian na quarta-feira, um pesquisador de segurança publicou a senha codificada no Twitter , solicitando a atualização urgente da Atlassian na quinta-feira.
O comunicado da empresa forneceu detalhes sobre como as organizações podem determinar se são afetadas pela vulnerabilidade ou se já foram comprometidas por meio de uma exploração visando a falha. A Atlassian instou as organizações a atualizar para as versões 2.7.38 ou 3.0.5 do software ou desativar ou excluir a conta de usuário do sistema desativado.
É importante ressaltar que a simples desinstalação do aplicativo Questions for Confluence não corrigiria a vulnerabilidade porque a conta de usuário do sistema desativado ainda permaneceria ativa após a remoção do aplicativo, alertou a Atlassian.
Duas outras vulnerabilidades críticas
As outras duas vulnerabilidades críticas que foram divulgadas ( CVE-2022-26136 e CVE-2022-26137 ) existem em várias versões de quase todos os produtos Atlassian. Isso inclui Bamboo Server e Data Center, Bitbucket Server e Data Center, Confluence Server e Data Center, Crowd Server e Data Center, Jira Server e Data Center e Jira Service Management Server e Data Center.
CVE-2022-26136 é uma vulnerabilidade de desvio de autenticação no código Java chamada Servlet Filter para interceptar e processar solicitações HTTP de e para um cliente e um sistema de back-end. A vulnerabilidade oferece aos invasores uma maneira de usar uma solicitação HTTP especialmente criada para ignorar os Filtros de Servlet que aplicativos de terceiros podem usar para impor a autenticação.
A mesma vulnerabilidade também permite que invasores usem solicitações HTTP especialmente criadas para induzir os usuários a executar JavaScript arbitrário no navegador do usuário.
A Atlassian disse que conseguiu confirmar que esses ataques são possíveis, mas ainda não conseguiu determinar todos os aplicativos de terceiros que podem ser afetados pelo problema.
A falha rastreada como CVE-2022-26137 também existe no Servlet Filter e oferece a invasores remotos não autenticados uma maneira de acessar aplicativos vulneráveis usando uma solicitação HTTP especialmente criada para induzir os usuários a solicitar uma URL maliciosa. A Atlassian lançou versões atualizadas de seu software para todos os produtos afetados para solucionar essas vulnerabilidades.
Problemas contínuos de segurança cibernética da Atlassian
As últimas falhas marcam a segunda vez nos últimos dois meses que as organizações que usam a tecnologia da Atlassian foram forçadas a se esforçar para corrigir falhas graves em seus produtos.
No início de junho, a empresa divulgou uma vulnerabilidade crítica de execução remota de código (RCE) afetando todas as versões suportadas do Confluence Server e Data Center. O bug ( CVE-2022-26134 ) deu aos invasores não autenticados uma maneira de descartar um shell da Web nos sistemas afetados. Isso gerou uma preocupação considerável porque os agentes de ameaças já haviam começado a explorá-lo no momento em que a empresa emitiu uma correção para ele.
Os invasores rapidamente começaram a explorar ativamente a falha para distribuir uma variedade de malware , incluindo variantes de bot Mirai, criptomineradores, ransomware e o kit de ataque pós-exploração Cobalt Strike. Muitos dos ataques foram automatizados por natureza.
Uma análise da Barracuda mostrou que 45% das tentativas de explorar a vulnerabilidade eram de endereços IP baseados na Rússia; 25% por cento dos ataques de exploração foram dos EUA; e 11% originaram-se de endereços IP na Índia.
FONTE: DARK READING