[English]Der Atlassian-Support hat zum 20. Juli 2022 das Security Advisory 2022-07-20 für Confluence veröffentlicht und heute aktualisiert. Im Sicherheitshinweis geht es um Confluence-Konten mit fest kodierten Anmeldeinformationen, die von Questions for Confluence erstellt wurden. Das betrifft die Confluence-App für Confluence Server und Confluence Data Center.
Anzeige
Wird die Questions for Confluence-App auf dem Confluence Server oder Data Center aktiviert, erstellt die App ein Confluence-Benutzerkonto mit dem Benutzernamen disabledsystemuser. Dieses Konto ist für Administratoren gedacht, die Daten von der App zu Confluence Cloud migrieren.
Das Konto disabledsystemuser wird mit einem fest kodierten Kennwort erstellt und der Gruppe confluence-users hinzugefügt. Die Gruppe ermöglicht standardmäßig die Anzeige und Bearbeitung aller nicht eingeschränkten Seiten in Confluence. Ein entfernter, nicht authentifizierter Angreifer mit Kenntnis des fest kodierten Passworts könnte dies ausnutzen, um sich in Confluence anzumelden und auf alle Seiten zuzugreifen, auf die die Gruppe confluence-users Zugriff hat.
Diese Schwachstelle in Form eines fest codierten Passworts wurde von einem externen Sicherheitsforscher entdeckt und auf Twitter veröffentlicht. Confluence stuft die Schwachstelle als kritisch ein. Da das fest codierte Kennwort nun öffentlich bekannt ist, ist es wahrscheinlich, dass dieses Problem in freier Wildbahn ausgenutzt wird. Diese Sicherheitslücke sollte auf den betroffenen Systemen sofort behoben werden. Betroffen sind Confluence Server- oder Data Center-Instanzen, wenn dies ein aktives Benutzerkonto mit den folgenden Informationen aufweisen:
- Benutzer: disabledsystemuser
- Benutzername: disabledsystemuser
- E-Mail: dontdeletethisuser@email.com
Es ist möglich, dass dieses Konto vorhanden ist, wenn die Questions for Confluence-App zuvor installiert und deinstalliert wurde. Betroffen sind folgende App-Versionen:
Anzeige
- Questions for Confluence 2.7.34 und 2.7.35 und 3.0.2
Confluence hat aktualisierte Fassungen der App bereitgestellt. Zudem können die Benutzerkonten deaktiviert und gelöscht werden. Details zur Behebung dieser Schwachstelle finden Sie im Security Advisory 2022-07-20.
Ergänzung: Von Tenable habe ich noch die folgende Information samt Ratschlag zum schnellen Patchen erhalten:
Atlassian-Produkte sind ein häufiges Ziel für Angreifer, insbesondere solche, die in Produkten wie Confluence Server und Jira zu finden sind, die extern über das Internet zugänglich sind. Im Juni nutzten Angreifer CVE-2022-26134, eine Confluence-Server-Remote-Code-Execution-Schwachstelle, als Zero Day, und bald darauf folgte ein Anstieg der Massenscan-Aktivitäten für anfällige Systeme.
Von den beiden Advisorys, die Atlassian kürzlich veröffentlicht hat, ist der Servlet Filter Dispatcher Vulnerabilities Advisory der schwerwiegendste, da anscheinend sowohl CVE-2022-26136 als auch CVE-2022-26137 die Mehrheit der Produkte von Atlassian betreffen. Am besorgniserregendsten ist die Tatsache, dass Atlassian angibt, dass sie nicht alle potenziellen Angriffspfade für beide Schwachstellen identifiziert haben.
Basierend auf einigen der identifizierten Angriffspfade könnte ein Angreifer diese Schwachstellen ausnutzen, indem er ein speziell gestaltetes HTTP sendet, um bestimmte Servlet-Filter über eine Vielzahl von Atlassian-Produkten hinweg zu umgehen, was zu einer Umgehung der Authentifizierung, Cross-Site-Scripting (XSS) oder ein Cross-Origin Resource Sharing (oder CORS)-Bypass führt.
Organisationen, die Atlassian-Produkte verwenden, sollten so schnell wie möglich auf eine gepatchte Version upgraden, da derzeit keine Problemumgehungen bekannt sind, um diese Schwachstellen zu beheben.
Anzeige
Felix von Leitner hat es passend zusammengefasst
"Oh ach soooo ist das! Wir machen die On-Prem-Geschichten schrittweise immer kaputter, bis auch der letzte von euch renitenten Pennern endlich unser Cloud"angebot" annimmt!1!!"