Se filtró la contraseña codificada de Confluence, ¡arréglela ahora!
3 min readLa empresa de software australiana Atlassian ha advertido a los clientes que parcheen de inmediato una vulnerabilidad crítica que proporciona a los atacantes remotos credenciales codificadas para conectarse a servidores Confluence Server y Data Center sin parches.
como la empresa presentado esta semanala aplicación Questions for Confluence (instalada en más de 8.000 servidores) crea un usuariosistemadeshabilitado cuenta con una contraseña codificada para ayudar a los administradores a migrar los datos de la aplicación a Confluence Cloud.
Un día después del lanzamiento de las actualizaciones de seguridad para solucionar la vulnerabilidad (seguida como CVE-2022-26138), Atlassian advirtió a los administradores que repararan sus servidores lo antes posible, dado que la contraseña codificada se había encontrado y compartido en línea.
“Una parte externa descubrió y reveló públicamente la contraseña codificada en Twitter. Es importante abordar de inmediato esta vulnerabilidad en los sistemas afectados”. la compañía advirtió el jueves.
“Es probable que este problema se explote en la naturaleza ahora que la contraseña codificada se conoce públicamente”.
La advertencia es oportuna y necesaria, ya que los piratas informáticos equipados con este conocimiento podrían usarlo para conectarse a servidores vulnerables de Confluence y acceder a páginas a las que tiene acceso el grupo de usuarios de Confluence.
Además, no sorprende, ya que Atlassian alertó previamente a los usuarios de que la contraseña era “trivial de obtener después de descargar y revisar las versiones afectadas de la aplicación”.
Corrección y verificación de pruebas de funcionamiento
Para defenderse de posibles ataques, Atlassian recomienda actualizar a una versión parcheada de Preguntas para la confluencia o deshabilitar/eliminar la usuariosistemadeshabilitado Cuenta.
Preguntas para la actualización de la aplicación Confluence a una versión fija (versiones 2.7.x >= 2.7.38 o versiones posteriores a la 3.0.5) eliminará la cuenta de usuario problemática si está presente.
Si desea determinar si un servidor se ve afectado por esta falla de seguridad de credenciales codificadas, debe buscar una cuenta de usuario activa con la siguiente información:
- Usuario: usuario del sistema deshabilitado
- Nombre de usuario: disabledsystemuser
- Correo electrónico: [email protected]
Para buscar evidencia de explotación, puede verificar la hora de la última autenticación para usuariosistemadeshabilitado usando lo siguiente instrucciones. si el resultado es malola cuenta existe en el sistema, pero nadie ha iniciado sesión usándola todavía.
También es importante mencionar que la desinstalación de la aplicación Questions for Confluence en los servidores afectados no eliminará el vector de ataque (es decir, las credenciales codificadas) y los sistemas sin parches seguirán siendo vulnerables a los ataques.
Los servidores de Confluence son objetivos atractivos para los actores de amenazas, como lo han demostrado ataques anteriores con Malware de red de bots de Linux, AvosLocker y Cerbero2021 ransomware y mineros criptográficos.
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.