Hartcodiertes Confluence-Passwort auf Twitter veröffentlicht

Nachdem Atlassian in der vergangenen Woche drei kritische Produktschwachstellen aufgedeckt hat, eskalierte am Wochenende die Sicherheitslücke in der App "Questions for Confluence", mit deren Hilfe sich die Community zu den Atlassian-Produkten austauscht. Das hartcodierte Passwort, also ein im Quellcode der App eingebettetes Passwort, ist auf Twitter durchgesickert.

Discovered by a fried of mine:

CVE-2022-26138: A remote, unauthenticated attacker with knowledge of the hardcoded password could exploit this to log into Confluence and access all content accessible to users in the confluence-users group

The password is disabled1system1user6708 pic.twitter.com/6D3g8ZFxTn

— @fluepke@chaos.social (@fluepke) July 20, 2022

Diese Confluence-Versionen sind betroffen

Wie Arstechnia berichtet, wurde die App zum Zeitpunkt der Veröffentlichung der Sicherheitslücke CVE-2022-21638 bereits 8.055 Mal heruntergeladen. Nach der Installation erstellt die Confluence-App ein Benutzerkonto mit dem Namen "disabledsystemuser", mit dem Administratoren Daten zwischen der App und dem Cloud-Dienst austauschen können. Das hartcodierte Passwort, das dieses Konto schützt, ermöglicht das Anzeigen und Bearbeiten aller nicht eingeschränkten Seiten innerhalb von Confluence. Cyberangreifer können mit den Anmeldeinformationen die Kontrolle über ungepatchte Server erlangen.

Einen Tag, nachdem der Hersteller die Sicherheitslücken bekannt gemacht hat, musste er seine Warnung noch verschärfen: "Eine externe Gruppe hat das hartcodierte Passwort auf Twitter entdeckt und öffentlich bekannt gegeben. Es ist wichtig, diese Schwachstelle auf betroffenen Systemen sofort zu beheben." Die Sicherheitslücke betrifft die App-Versionen 2.7.34, 2.7.35 und 3.0.2.

Confluence-App absichern

Zudem informiert Atlassian, dass das Deinstallieren der Questions-for-Confluence-App den Fehler nicht beheben kann. Das Admin-Konto wird dadurch nicht automatisch entfernt. Um herauszufinden, ob ein System anfällig ist, sollen Benutzer nach Konten mit den folgenden Informationen suchen:

• Benutzer: disabledsystemuser

• Benutzername: disabledsystemuser

• E-Mail-Adresse: dontdeletethisuser@email.com

Atlassian hat darüber hinaus weitere Anweisungen zum Auffinden der betroffenen Konten veröffentlicht.

Um das Problem zu beheben, sollen User die App auf eine nicht anfällige Version aktualisieren. Der Hersteller empfiehlt die Version 2.7.38, die kompatibel mit Confluence 6.13.18 bis 7.16.2 ist. Sowie die Version 3.0.5, die mit den Versionen 7.16.3 und höher kompatibel ist. Informationen zum Aktualisieren der App stellt Atlassian online bereit. Die korrigierten Versionen der App beenden die Erstellung des disabledsystemuser-Kontos und entfernen es aus dem System, wenn es bereits erstellt wurde.

Wenn Confluence für die Verwendung eines schreibgeschützten externen Verzeichnisses, zum Beispiel Atlassian Crowd, konfiguriert ist, müssen Nutzer die zweite Option befolgen: Deaktivieren oder Löschen des Kontos.

Confluence-Server haben sich als attraktive Ziele für Cyberkriminelle erwiesen. Allein das Portal BleepingComputer hat in den vergangenen zwei Jahren über vier Fälle berichtet, in denen das Collaboration-Tool für Linux-Botnet-, Ransomware- und Krypto-Mining-Angriffe ausgenutzt wurde.