Una vulnerabilidad recientemente revelada que afecta a los usuarios de la plataforma de colaboración Confluence de Atlassian podría brindar a un actor malicioso acceso remoto a todas las páginas no restringidas en la instancia de Confluence de una organización, y debe corregirse de inmediato.
Rastreada como CVE-2022-26138, la vulnerabilidad se reveló el miércoles 20 de julio de 2022. Existe en la aplicación Preguntas para Confluence que, cuando está habilitada en Confluence Server o Data Center, crea una cuenta de usuario de Confluence con una contraseña codificada que se usa para ayudar a los administradores a migrar datos de la aplicación a Confluence Cloud. Esta cuenta puede ver y editar todas las páginas no restringidas en Confluence de forma predeterminada.
Si un actor malintencionado obtuviera conocimiento de esta contraseña codificada, podría explotarla de forma remota para iniciar sesión en Confluence y acceder a cualquier página a la que pueda acceder la cuenta. Desde entonces, la contraseña codificada se ha descubierto y divulgado públicamente en Twitter, lo que convierte a CVE-2022-26138 en un problema crítico que se explotará en poco tiempo.
Según Atlassian, una instancia de Confluence Server o Data Center se ve afectada si tiene una cuenta de usuario activa con cualquiera de la siguiente información:
Los usuarios afectados tienen dos opciones: primero, actualizar a una versión no vulnerable de Preguntas para Confluencia, o deshabilitar o eliminar la cuenta privilegiada. Se pueden encontrar más detalles sobre ambas acciones aquí.
El fundador de Bugcrowd, Casey Ellis, comentó: “Este es un error trivial para explotar y, por lo tanto, un parche o mitigación urgente. La vulnerabilidad requiere que se haya instalado la aplicación Preguntas para Confluence, lo que limitará la propagación del impacto aquí, pero en general, cualquiera que ejecute Confluence debe asumir que hay un problema potencial, lea el aviso, que creo que Atlassian ha hecho un gran trabajo al ayudar a sus usuarios a simplificar la tarea de determinar la exposición y actuar en consecuencia”.
Vulnerabilidad de junio
Desafortunadamente, CVE-2022-26138 es la segunda vulnerabilidad importante descubierta en Confluence en los últimos meses, luego de la divulgación de CVE-2022-26134 en junio.
Esta es una vulnerabilidad de ejecución remota de código en Confluence Server and Data Center, que cuando se explota permite que un atacante no autenticado ejecute código arbitrario en una instancia afectada.
En una demostración de cómo la amplia popularidad de Confluence hace que la explotación de vulnerabilidades en el servicio sea particularmente atractiva para los malos actores, Akamai informó que vio alrededor de 100 000 intentos de explotación diarios en los primeros días posteriores al lanzamiento, cayendo a 20 000 por día a fines de junio. de aproximadamente 6000 direcciones IP maliciosas, de las cuales el 50 % ya había sido identificado como tal por Akamai.
Akamai dijo que observó múltiples ataques cibernéticos diferentes que se desarrollaron a través de la vulnerabilidad, incluida la entrega de webshells maliciosos, malware y criptomineros ilícitos.
Además de esta divulgación, el equipo de inteligencia de amenazas de Rapid7 encontró a un usuario en el foro XSS en idioma ruso que vendía acceso raíz a 50 redes empresariales que habían obtenido a través de CVE-2022-26134. De acuerdo a El recordel mismo corredor también afirmó tener acceso a hasta 10,000 clientes vulnerables de Atlassian.
