Getty Resimleri
Sabit kodlanmış bir parolaya sahip, yaygın olarak kullanılan İnternet bağlantılı bir kurumsal uygulamadan daha kötü ne olabilir? Sabit kodlanmış parola dünyaya sızdırıldıktan sonra söz konusu kurumsal uygulamayı deneyin.
Atlassian Çarşamba günü, kullanıcıların Atlassian ürünleriyle ilgili sık sorulan sorular için hızlı bir şekilde destek almalarını sağlayan Questions for Confluence’daki sabit kodlanmış bir paroladan kaynaklanan CVE-2022-26138 dahil olmak üzere üç kritik ürün güvenlik açığı ortaya çıkardı. Şirket, şifrenin “elde edilmesi önemsiz” olduğu konusunda uyardı.
Şirket, Questions for Confluence’ın yayınlandığı tarihte 8.055 kuruluma sahip olduğunu söyledi. Uygulama yüklendiğinde, yöneticilerin uygulama ile Confluence Bulut hizmeti arasında veri taşımasına yardımcı olması amaçlanan disablesystemuser adlı bir Confluence kullanıcı hesabı oluşturur. Bu hesabı koruyan sabit kodlu parola, Confluence içindeki tüm kısıtlamasız sayfaların görüntülenmesine ve düzenlenmesine izin verir.
Şirket, “Sabit kodlanmış parola bilgisine sahip, uzak, kimliği doğrulanmamış bir saldırgan, Confluence’a giriş yapmak ve confluence-users grubunun erişebildiği tüm sayfalara erişmek için bundan yararlanabilir” dedi. “Etkilenen sistemlerde bu güvenlik açığını derhal gidermek önemlidir.”
Bir gün sonra Atlassian, “harici bir tarafın Twitter’da sabit kodlanmış şifreyi keşfettiğini ve kamuya açıkladığını” bildirerek şirketin uyarılarını artırmaya başlamasına neden oldu.
Güncellenen danışma belgesinde, “Bu sorunun, sabit kodlanmış parolanın herkes tarafından bilindiği için vahşi ortamda kullanılması muhtemeldir” dedi. “Bu güvenlik açığı, etkilenen sistemlerde derhal düzeltilmelidir.”
Şirket, Confluence kurulumlarında aktif olarak uygulama yüklü olmasa bile, hala savunmasız olabilecekleri konusunda uyardı. Disablesystemuser hesabı sistemde kalmaya devam edebileceğinden, uygulamanın kaldırılması güvenlik açığını otomatik olarak düzeltmez.
Atlassian, bir sistemin güvenlik açığı olup olmadığını anlamak için Confluence kullanıcılarına aşağıdaki bilgileri içeren hesapları aramalarını tavsiye etti:
- kullanıcı: devre dışı sistem kullanıcısı
- Kullanıcı adı: devre dışı sistem kullanıcısı
- E-posta: [email protected]
Atlassian, bu tür hesapları burada bulmak için daha fazla talimat verdi. Güvenlik açığı, Confluence 2.7.x ve 3.0.x sürümleri için Soruları etkiler. Atlassian, müşterilerin sorunu çözmesi için iki yol sağladı: “disabledsystemuser” hesabını devre dışı bırakın veya kaldırın. Şirket ayrıca sık sorulan soruların cevaplarının bulunduğu bu listeyi yayınladı.
İstismar kanıtı arayan Confluence kullanıcıları, buradaki talimatları kullanarak disablesystemuser için son kimlik doğrulama zamanını kontrol edebilir. Sonuç boş ise, hesap sistemde mevcuttur, ancak henüz kimse hesabı kullanarak oturum açmamıştır. Komutlar ayrıca, başarılı veya başarısız olan son oturum açma girişimlerini de gösterir.
Güvenlik açığı raporlama hizmeti Bugcrowd’un kurucusu Casey Ellis, “Artık yamalar çıktığına göre, oldukça kısa bir sürede kamuya açık bir POC üretmek için yama farkı ve tersine mühendislik çalışmaları beklenebilir” dedi. “Atlassian mağazaları, halka açık ürünleri ve güvenlik duvarının arkasındakileri mümkün olan en kısa sürede düzeltmeye başlamalıdır. Tavsiyede yer alan ve azaltma olarak proxy filtrelemeye karşı önerilerde bulunan yorumlar, birden fazla tetikleme yolu olduğunu göstermektedir.
Atlassian’ın Çarşamba günü açıklanan diğer iki güvenlik açığı da ciddi ve aşağıdaki ürünleri etkiliyor:
- Bambu Sunucu ve Veri Merkezi
- Bitbucket Sunucusu ve Veri Merkezi
- Confluence Sunucusu ve Veri Merkezi
- Kalabalık Sunucu ve Veri Merkezi
- pota
- Balık gözü
- Jira Sunucu ve Veri Merkezi
- Jira Servis Yönetim Sunucusu ve Veri Merkezi
CVE-2022-26136 ve CVE-2022-26137 olarak izlenen bu güvenlik açıkları, uzak, kimliği doğrulanmamış bilgisayar korsanlarının birinci ve üçüncü taraf uygulamalar tarafından kullanılan Servlet Filtrelerini atlamasını mümkün kılar.
Şirket, “Etki, her uygulama tarafından hangi filtrelerin kullanıldığına ve filtrelerin nasıl kullanıldığına bağlıdır” dedi. Atlassian, bu güvenlik açığının temel nedenini düzelten güncellemeler yayınladı, ancak bu güvenlik açığının tüm olası sonuçlarını kapsamlı bir şekilde sıralamadı.
Güvenlik Açığı Confluence sunucuları, fidye yazılımı, kripto madenciliği ve diğer kötü amaçlı yazılım türlerini yüklemek isteyen bilgisayar korsanları için uzun zamandır favori bir açılış olmuştur. Atlassian’ın bu hafta açıkladığı güvenlik açıkları, yöneticilerin ideal olarak hafta sonu başlamadan önce sistemlerini kapsamlı bir şekilde incelemeye öncelik vermeleri için yeterince ciddi.
