Atlassian đã triển khai các bản sửa lỗi để khắc phục lỗ hổng bảo mật nghiêm trọng liên quan đến việc sử dụng thông tin đăng nhập được mã hóa cứng ảnh hưởng đến ứng dụng Câu hỏi Hợp lưu cho Máy chủ Hợp lưu và Trung tâm Dữ liệu Hợp lưu.
Lỗ hổng, được theo dõi là CVE-2022-26138, phát sinh khi ứng dụng được đề cập được kích hoạt trên một trong hai dịch vụ, khiến nó tạo tài khoản người dùng Hợp lưu với tên người dùng “disablesystemuser”.
Atlassian cho biết, mặc dù tài khoản này là để giúp quản trị viên di chuyển dữ liệu từ ứng dụng sang Confluence Cloud, nhưng nó cũng được tạo bằng mật khẩu được mã hóa cứng, cho phép xem và chỉnh sửa hiệu quả tất cả các trang không bị hạn chế trong Confluence theo mặc định.
“Một kẻ tấn công từ xa, không được xác thực có kiến thức về mật khẩu được mã hóa cứng có thể khai thác mật khẩu này để đăng nhập vào Confluence và truy cập bất kỳ trang nào mà nhóm người dùng hợp lưu có quyền truy cập”, công ty cho biết trong một lời khuyên và nói thêm rằng “mật khẩu được mã hóa cứng là điều không cần thiết để có được sau khi tải xuống và xem xét các phiên bản bị ảnh hưởng của ứng dụng. “
Các câu hỏi dành cho các phiên bản Confluence 2.7.34, 2.7.35 và 3.0.2 bị ảnh hưởng bởi lỗ hổng này, với các bản sửa lỗi có sẵn trong các phiên bản 2.7.38 và 3.0.5. Ngoài ra, người dùng có thể vô hiệu hóa hoặc xóa tài khoản người dùng hệ thống bị vô hiệu hóa.
Mặc dù Atlassian đã chỉ ra rằng không có bằng chứng về việc khai thác lỗ hổng một cách tích cực, nhưng người dùng có thể tìm kiếm các dấu hiệu về sự xâm phạm bằng cách kiểm tra thời gian xác thực cuối cùng cho tài khoản. “Nếu thời gian xác thực cuối cùng cho người dùng hệ thống bị vô hiệu hóa là vô hiệu, điều đó có nghĩa là tài khoản tồn tại nhưng chưa có ai đăng nhập vào”, nó nói.
Ngoài ra, công ty phần mềm Úc cũng tiến hành vá một cặp lỗ hổng nghiêm trọng, mà họ gọi là lỗ hổng điều phối bộ lọc servlet, ảnh hưởng đến nhiều sản phẩm –
Máy chủ và Trung tâm dữ liệu Bamboo Máy chủ Bitbucket và Trung tâm dữ liệu Máy chủ hợp lưu và Trung tâm dữ liệu Máy chủ đám đông và Trung tâm dữ liệu Fisheye và Máy chủ và Trung tâm dữ liệu Crucible Jira, và Máy chủ quản lý dịch vụ Jira và Trung tâm dữ liệu
Khai thác thành công các lỗi, được theo dõi là CVE-2022-26136 và CVE-2022-26137, có thể cho phép kẻ tấn công từ xa, chưa được xác thực bỏ qua xác thực được sử dụng bởi các ứng dụng của bên thứ ba, thực thi mã JavaScript tùy ý và phá vỡ việc chia sẻ tài nguyên nguồn gốc chéo (CORS) cơ chế trình duyệt bằng cách gửi một yêu cầu HTTP được chế tạo đặc biệt.
“Atlassian đã phát hành các bản cập nhật khắc phục nguyên nhân gốc rễ của lỗ hổng này, nhưng chưa liệt kê đầy đủ tất cả các hậu quả tiềm ẩn của lỗ hổng này”, công ty cảnh báo trong lời khuyên liên quan đến CVE-2022-26137.
.