前情提要
Questions for Confluence 是一個由澳洲軟體公司 Atlassian 開發的企業專案資訊與資源中心站,根據估計全球約有 8000 多個伺服器正在使用此服務。然而,Questions for Confluence 卻被發現存有密碼寫死漏洞:CVE-2022-26138,目前已知,此弱點已經被用於惡意網路攻擊 (使用帳號:dontdeletethisuser@email.com),且已在今年(2022) 7 月 29 日 被美國網路安全及基礎設施安全局(CISA)收錄於美國弱點資料庫 (national vulnerability database, NVD),並限制 Atlassian 公司於 8 月 19 日前完成弱點的修補和更新。
漏洞細節
Questions for Confluence 在建立時,開發團隊設定了一組預設的內部帳號 - 使用者名稱:disabledsystemuser,旨於協助 Questions for Confluence 的使用者進行資料的轉移。此內部帳號具有「瀏覽和編輯所有未鎖定 Confluence 頁面」的權限。因此,一旦惡意攻擊者掌握了此內部帳號的密碼硬式編碼 (hardcoded password),攻擊者便可以存取 confluence 上的任何資料,其中也包括了Questions for Confluence 使用者於登入時使用的使用者名稱與密碼。
漏洞動態
漏洞 CVE-2022-26138 目前被列為修補中的關鍵 ( critical ) 弱點。目前Atlassian 已偵測到來自於不明帳號 dontdeletethisuser@email.com 對於 disabledsystemuser 帳號的登入訊息,很有可能此密碼硬式編碼 (hardcoded password) 已經受到公佈。 Atlassian 公司也在其官網上說明:若公司帳號中被觀察到以下帳號的活動,則此公司帳號很有可能已經受到此漏洞影響:
User: disabledsystemuser
Username: disabledsystemuser
Email: dontdeletethisuser@email.com
針對於此漏洞修復前的惡意攻擊預防, Atlassian 公司建議以下兩種方式:
將系統更新/回復至沒有漏洞 CVE-2022-26138 的版本
2.7.x >= 2.7.38 (compatible with Confluence 6.13.18 through 7.16.2)
Versions >= 3.0.5 (compatible with Confluence 7.16.3 and later)
先移除或是封鎖confluence 內部帳號 disabledsystemuser
資料來源
CVE-2022-26138 Detail, national vulnerability database (20 July 2022):-https://nvd.nist.gov/vuln/detail/CVE-2022-26138
Questions For Confluence Security Advisory 2022-07-20, Confluence support (20 July 2022)-https://confluence.atlassian.com/doc/confluence-security-advisory-2022-07-20-1142446709.html
CISA把Confluence將密碼寫死的安全漏洞納入已遭開採名單, iThome (1 Aug 2022)- https://www.ithome.com.tw/news/152225
Confluence App寫死的密碼遭公布,可能致企業內部資料曝光, iThome (26 July 2022)-https://www.ithome.com.tw/news/152113