{"id":270790,"date":"2022-07-21T22:05:31","date_gmt":"2022-07-21T20:05:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270790"},"modified":"2022-07-22T12:20:37","modified_gmt":"2022-07-22T10:20:37","slug":"confluence-security-advisory-2022-07-20","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/21\/confluence-security-advisory-2022-07-20\/","title":{"rendered":"Atlassian Confluence Security Advisory 2022-07-20"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/07\/21\/confluence-security-advisory-2022-07-20\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Der Atlassian-Support hat zum 20. Juli 2022 das Security Advisory <a href=\"https:\/\/confluence.atlassian.com\/doc\/questions-for-confluence-security-advisory-2022-07-20-1142446709.html\" target=\"_blank\" rel=\"noopener\">2022-07-20<\/a> f\u00fcr Confluence ver\u00f6ffentlicht und heute aktualisiert. Im Sicherheitshinweis geht es um Confluence-Konten mit fest kodierten Anmeldeinformationen, die von <em>Questions for Confluence<\/em> erstellt wurden. Das betrifft die Confluence-App f\u00fcr Confluence Server und Confluence Data Center.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/f83dbc68d02f48dc9f267ea8bbdf3e29\" alt=\"\" width=\"1\" height=\"1\" \/>Wird die Questions for Confluence-App\u00a0 auf dem Confluence Server oder Data Center aktiviert, erstellt die App ein Confluence-Benutzerkonto mit dem Benutzernamen <em>disabledsystemuser<\/em>. Dieses Konto ist f\u00fcr Administratoren gedacht, die Daten von der App zu Confluence Cloud migrieren.<\/p>\n<p>Das Konto <em>disabledsystemuser<\/em> wird mit einem fest kodierten Kennwort erstellt und der Gruppe <em>confluence-users<\/em> hinzugef\u00fcgt. Die Gruppe erm\u00f6glicht standardm\u00e4\u00dfig die Anzeige und Bearbeitung aller nicht eingeschr\u00e4nkten Seiten in Confluence. Ein entfernter, nicht authentifizierter Angreifer mit Kenntnis des fest kodierten Passworts k\u00f6nnte dies ausnutzen, um sich in Confluence anzumelden und auf alle Seiten zuzugreifen, auf die die Gruppe <em>confluence-users <\/em>Zugriff hat.<\/p>\n<p>Diese Schwachstelle in Form eines fest codierten Passworts wurde von einem externen Sicherheitsforscher entdeckt und auf Twitter <a href=\"https:\/\/twitter.com\/fluepke\/status\/1549892089181257729\" target=\"_blank\" rel=\"noopener\">ver\u00f6ffentlicht<\/a>. Confluence stuft die Schwachstelle als kritisch ein. Da das fest codierte Kennwort nun \u00f6ffentlich bekannt ist, ist es wahrscheinlich, dass dieses Problem in freier Wildbahn ausgenutzt wird. Diese Sicherheitsl\u00fccke sollte auf den betroffenen Systemen sofort behoben werden. Betroffen sind Confluence Server- oder Data Center-Instanzen, wenn dies ein aktives Benutzerkonto mit den folgenden Informationen aufweisen:<\/p>\n<ul>\n<li>Benutzer: disabledsystemuser<\/li>\n<li>Benutzername: disabledsystemuser<\/li>\n<li>E-Mail: dontdeletethisuser@email.com<\/li>\n<\/ul>\n<p>Es ist m\u00f6glich, dass dieses Konto vorhanden ist, wenn die Questions for Confluence-App zuvor installiert und deinstalliert wurde. Betroffen sind folgende App-Versionen:<\/p>\n<ul>\n<li>Questions for Confluence 2.7.34 und 2.7.35 und 3.0.2<\/li>\n<\/ul>\n<p>Confluence hat aktualisierte Fassungen der App bereitgestellt. Zudem k\u00f6nnen die Benutzerkonten deaktiviert und gel\u00f6scht werden. Details zur Behebung dieser Schwachstelle finden Sie im Security Advisory <a href=\"https:\/\/confluence.atlassian.com\/doc\/questions-for-confluence-security-advisory-2022-07-20-1142446709.html\" target=\"_blank\" rel=\"noopener\">2022-07-20<\/a>.<\/p>\n<p>Erg\u00e4nzung: Von Tenable habe ich noch die folgende Information samt Ratschlag zum schnellen Patchen erhalten:<\/p>\n<blockquote><p>Atlassian-Produkte sind ein h\u00e4ufiges Ziel f\u00fcr Angreifer, insbesondere solche, die in Produkten wie Confluence Server und Jira zu finden sind, die extern \u00fcber das Internet zug\u00e4nglich sind. Im Juni nutzten Angreifer CVE-2022-26134, eine Confluence-Server-Remote-Code-Execution-Schwachstelle, als Zero Day, und bald darauf folgte ein Anstieg der Massenscan-Aktivit\u00e4ten f\u00fcr anf\u00e4llige Systeme.<\/p>\n<p>Von den beiden Advisorys, die Atlassian k\u00fcrzlich ver\u00f6ffentlicht hat, ist der Servlet Filter Dispatcher Vulnerabilities Advisory der schwerwiegendste, da anscheinend sowohl CVE-2022-26136 als auch CVE-2022-26137 die Mehrheit der Produkte von Atlassian betreffen. Am besorgniserregendsten ist die Tatsache, dass Atlassian angibt, dass sie nicht alle potenziellen Angriffspfade f\u00fcr beide Schwachstellen identifiziert haben.<\/p>\n<p>Basierend auf einigen der identifizierten Angriffspfade k\u00f6nnte ein Angreifer diese Schwachstellen ausnutzen, indem er ein speziell gestaltetes HTTP sendet, um bestimmte Servlet-Filter \u00fcber eine Vielzahl von Atlassian-Produkten hinweg zu umgehen, was zu einer Umgehung der Authentifizierung, Cross-Site-Scripting (XSS) oder ein Cross-Origin Resource Sharing (oder CORS)-Bypass f\u00fchrt.<\/p>\n<p>Organisationen, die Atlassian-Produkte verwenden, sollten so schnell wie m\u00f6glich auf eine gepatchte Version upgraden, da derzeit keine Problemumgehungen bekannt sind, um diese Schwachstellen zu beheben.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>[English]Der Atlassian-Support hat zum 20. Juli 2022 das Security Advisory 2022-07-20 f\u00fcr Confluence ver\u00f6ffentlicht und heute aktualisiert. Im Sicherheitshinweis geht es um Confluence-Konten mit fest kodierten Anmeldeinformationen, die von Questions for Confluence erstellt wurden. Das betrifft die Confluence-App f\u00fcr Confluence &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/07\/21\/confluence-security-advisory-2022-07-20\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328],"class_list":["post-270790","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270790","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=270790"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270790\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=270790"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=270790"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=270790"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}