Getty Images
Qu’y a-t-il de pire qu’une application d’entreprise largement utilisée et connectée à Internet avec un mot de passe codé en dur ? Essayez ladite application d’entreprise après que le mot de passe codé en dur ait été divulgué au monde.
Atlassian a révélé mercredi trois vulnérabilités critiques de produits, dont CVE-2022-26138 résultant d’un mot de passe codé en dur dans Questions for Confluence, une application qui permet aux utilisateurs de recevoir rapidement une assistance pour les questions courantes concernant les produits Atlassian. La société a averti que le code d’accès était “inutile à obtenir”.
La société a déclaré que Questions for Confluence comptait 8 055 installations au moment de la publication. Une fois installée, l’application crée un compte utilisateur Confluence nommé disabledsystemuser, destiné à aider les administrateurs à déplacer des données entre l’application et le service Confluence Cloud. Le mot de passe codé en dur protégeant ce compte permet de visualiser et de modifier toutes les pages non restreintes de Confluence.
“Un attaquant distant non authentifié connaissant le mot de passe codé en dur pourrait exploiter cela pour se connecter à Confluence et accéder à toutes les pages auxquelles le groupe d’utilisateurs de confluence a accès”, a déclaré la société. “Il est important de remédier immédiatement à cette vulnérabilité sur les systèmes concernés.”
Un jour plus tard, Atlassian était de retour pour signaler qu'”une partie externe a découvert et divulgué publiquement le mot de passe codé en dur sur Twitter”, ce qui a conduit l’entreprise à augmenter ses avertissements.
“Ce problème est susceptible d’être exploité dans la nature maintenant que le mot de passe codé en dur est connu publiquement”, lit-on dans l’avis mis à jour. “Cette vulnérabilité doit être corrigée immédiatement sur les systèmes concernés.”
La société a averti que même lorsque les installations de Confluence n’ont pas activement installé l’application, elles peuvent toujours être vulnérables. La désinstallation de l’application ne corrige pas automatiquement la vulnérabilité, car le compte d’utilisateur système désactivé peut toujours résider sur le système.
Publicité
Pour déterminer si un système est vulnérable, Atlassian a conseillé aux utilisateurs de Confluence de rechercher des comptes avec les informations suivantes :
- Utilisateur: utilisateursystèmedésactivé
- Nom d’utilisateur: utilisateursystèmedésactivé
- E-mail: dontdeletethisuser@email.com
Atlassian a fourni plus d’instructions pour localiser ces comptes ici. La vulnérabilité affecte les versions 2.7.x et 3.0.x de Questions for Confluence. Atlassian a fourni deux façons aux clients de résoudre le problème : désactiver ou supprimer le compte “disabledsystemuser”. La société a également publié cette liste de réponses aux questions fréquemment posées.
Les utilisateurs de Confluence à la recherche de preuves d’exploitation peuvent vérifier l’heure de la dernière authentification pour disabledsystemuser en suivant les instructions ici. Si le résultat est nul, le compte existe sur le système, mais personne ne s’est encore connecté en l’utilisant. Les commandes affichent également toutes les tentatives de connexion récentes qui ont réussi ou échoué.
“Maintenant que les correctifs sont disponibles, on peut s’attendre à ce que les efforts de diff de correctifs et d’ingénierie inverse produisent un POC public dans un délai assez court”, a écrit Casey Ellis, fondateur du service de signalement de vulnérabilités Bugcrowd, dans un message direct. “Les boutiques Atlassian devraient immédiatement appliquer des correctifs aux produits destinés au public, et à ceux derrière le pare-feu le plus rapidement possible. Les commentaires de l’avis recommandant de ne pas utiliser le filtrage proxy comme atténuation suggèrent qu’il existe plusieurs voies de déclenchement.
Les deux autres vulnérabilités dévoilées mercredi par Atlassian sont également graves, affectant les produits suivants :
- Serveur et centre de données Bamboo
- Serveur Bitbucket et centre de données
- Serveur Confluence et centre de données
- Serveur de foule et centre de données
- Creuset
- Fisheye
- Serveur et centre de données Jira
- Serveur de gestion des services Jira et centre de données
Suivies comme CVE-2022-26136 et CVE-2022-26137, ces vulnérabilités permettent aux pirates distants non authentifiés de contourner les filtres de servlet utilisés par les applications propriétaires et tierces.
“L’impact dépend des filtres utilisés par chaque application et de la manière dont les filtres sont utilisés”, a déclaré la société. “Atlassian a publié des mises à jour qui corrigent la cause première de cette vulnérabilité, mais n’a pas énuméré de manière exhaustive toutes les conséquences potentielles de cette vulnérabilité.”
Les serveurs Confluence vulnérables sont depuis longtemps une ouverture préférée des pirates qui cherchent à installer des rançongiciels, des cryptomineurs et d’autres formes de logiciels malveillants. Les vulnérabilités révélées par Atlassian cette semaine sont suffisamment graves pour que les administrateurs donnent la priorité à un examen approfondi de leurs systèmes, idéalement avant le début du week-end.