Atlassian alerta para várias novas vulnerabilidades críticas potencialmente exploradas em estado selvagem, alerta pede que clientes apliquem as correções rapidamente.
A Atlassian está alertando seus clientes e parceiros sobre três vulnerabilidades críticas diferentes que afetam o Confluence Server, o Confluence Data Center e vários outros produtos da Bamboo, BitBucket, Fisheye e Jira.
Na quinta-feira, a Atlassian alertou queCVE-2022-26138– que afeta o aplicativo Questions For Confluence para Confluence Server e Confluence Data Center – “provavelmente será explorado em estado selvagem” depois que alguém “descobrir e divulgar publicamente a senha codificada no Twitter”.
“Um invasor remoto não autenticado com conhecimento da senha codificada pode explorar isso para fazer login no Confluence e acessar quaisquer páginas às quais o grupo de usuários do confluence tenha acesso”, disse a empresa. “É importante corrigir essa vulnerabilidade nos sistemas afetados imediatamente.”
A empresa disse que as instalações do Confluence que não possuem ativamente nenhuma versão do aplicativo instalada ainda podem ser afetadas. O aplicativo Questions for Confluence está instalado em mais de 8.000 instâncias .
A desinstalação do aplicativo Questions for Confluence também não corrige a vulnerabilidade, e a Atlassian forneceu duas maneiras diferentes para os clientes resolverem o problema, desabilitando ou removendo a conta “disabledsystemuser”.
A empresa também forneceu métodos para as empresas verificarem se seus sistemas haviam sido explorados.
O fundador da Bugcrowd, Casey Ellis, disse que o bug é trivial de explorar e, portanto, requer atenção urgente.
“A vulnerabilidade exige que o aplicativo Questions for Confluence tenha sido instalado, o que limitará a propagação do impacto aqui, mas, em geral, qualquer pessoa que execute o Confluence deve supor que há um problema em potencial, leia o aviso (o que acho que a Atlassian fez um ótimo trabalhar para ajudar seus usuários a simplificar a tarefa de determinar a exposição) e agir de acordo”, disse Ellis.
Vários outros especialistas observaram que as senhas codificadas são problemáticas por vários motivos, e Mike Parkin, da Vulcan Cyber, disse que agora a senha está disponível, é garantido que os agentes de ameaças tentarão explorá-la.
Digital Shadows O CISO Rick Holland observou que as senhas codificadas aumentam significativamente a probabilidade de exploração, especialmente quando as senhas se tornam amplamente compartilhadas.
“Se você joga futebol, as senhas codificadas são ‘gols contra’. Os adversários marcam gols suficientes sozinhos; não precisamos colocar a bola na nossa própria rede”, disse Holland. “Nunca use senhas codificadas; reserve um tempo para configurar a autenticação adequada e minimizar os riscos futuros.”
CVE-2022-26136eCVE-2022-26137
Na quarta-feira, a Atlassian divulgou outro aviso sobre duas outras vulnerabilidades –CVE-2022-26136eCVE-2022-26137– problemas críticos de gravidade em vários produtos Atlassian, permitindo que um invasor remoto não autenticado ignore os Filtros de Servlet usados por aplicativos próprios e de terceiros.
“O impacto depende de quais filtros são usados por cada aplicativo e como os filtros são usados. A Atlassian lançou atualizações que corrigem a causa raiz dessa vulnerabilidade, mas não enumerou exaustivamente todas as possíveis consequências dessa vulnerabilidade”, disse Atlassian.
Em um documento de perguntas e respostas lançado junto com o comunicado, a Atlassian explicou que as vulnerabilidades afetam o código incluído em cada produto afetado e observou que os sistemas ainda são afetados, mesmo que não tenham aplicativos de terceiros instalados.
Para essas vulnerabilidades, a Atlassian não pode fornecer um método para confirmar se os clientes foram comprometidos e os usuários sugeriram “envolver a equipe de segurança local ou uma empresa especialista em segurança forense para investigação adicional”.
“A Atlassian recomenda verificar a integridade do sistema de arquivos do aplicativo, por exemplo, comparação de artefatos em seu estado atual com backups recentes para ver se há diferenças inesperadas”, disse a empresa.
Eles forneceram orientações específicas para clientes que usam Jira, Confluence, Bamboo e Bitbucket.
A Atlassian reconheceu as preocupações levantadas ao lançar vários avisos para vulnerabilidades críticas consecutivas e disse que planeja publicar avisos críticos de segurança uma vez por mês a partir deste mês.
Eles continuarão a divulgar avisos singulares se uma vulnerabilidade crítica for pública e amplamente conhecida e se houver relatos verificáveis de exploração na natureza.
“O Confluence não teve escassez de manchetes”, acrescentou Holland.
Fonte: The Record
Veja também:
- Phishing do QBot usa sideload da calculadora do Windows
- SonicWall pede aos clientes que corrijam bug crítico de injeção de SQL
- 5 razões pelas quais a segurança de IoMT são críticos
- Cresce o número de ataques cibernéticos tipo ransomware nos últimos anos
- As 5 principais ameaças internas à segurança de dados e como lidar com elas
- Onda de calor na Europa derruba data centers do Google
- Falhas em GPS populares permitem que hackers interrompam e rastreiem veículos
- AIOPS são a melhor forma de prevenção e detecção de ataques virtuais
- Pesquisa global da Fortinet revela desafios críticos de segurança de OT
- Hackers russos usam DropBox e Google Drive para descarregar cargas maliciosas
- 10 principais ataques de segurança cibernética da última década
- Novo ransomware Luna e Black Basta criptografa sistemas Windows, Linux e ESXi
1 Trackback / Pingback