Password hardcoded all’interno di Atlassian Questions For Confluence

Poco dopo la correzione di una vulnerabilità critica che si verifica dopo l’installazione dell’applicazione Questions For Confluence, gli hacker hanno iniziato a sfruttare gli endpoint esposti. 

Si tratta della vulnerabilità CVE-2022-26138 associata a una password hardcoded per un account utente denominato disabledsystemuser.

All’interno della CVE viene riportato quanto segue:

“L’app Atlassian Questions For Confluence per Confluence Server e Data Center crea un account utente Confluence nel gruppo confluence-users con il nome utente disabledsystemuser e una password hardcoded. Un utente malintenzionato remoto e non autenticato con conoscenza della password hardcoded potrebbe sfruttarla per accedere a Confluence e accedere a tutti i contenuti accessibili agli utenti nel gruppo confluence-users. Questo account utente viene creato durante l’installazione delle versioni 2.7.34, 2.7.35 e 3.0.2 dell’app.”

Gli esperti notano che la vulnerabilità compare solo quando l’applicazione Atlassian Questions For Confluence è abilitata. Tuttavia, l’eliminazione dell’applicazione non elimina la vulnerabilità, poiché l’account dati codificato non viene rimosso quando l’applicazione viene disinstallata.

Non appena il nome utente e la password codificati sono stati pubblicati su Twitter, gli aggressori hanno subito iniziato a provare a utilizzarli per i propri scopi. 

Per gli esperti, questa non è stata una sorpresa, dal momento che Confluence è un gustoso boccone per gli hacker che utilizzano le sue vulnerabilità per eseguire attacchi ransomware.

Gli esperti raccomandano agli utenti di aggiornare Confluence alle ultime versioni (2.7.38 e 3.0.5) o disabilitare/eliminare l’account il prima possibile.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione