Patch Sekarang: Bug Pertemuan Atlassian Di Bawah Eksploitasi Aktif

Kerentanan Atlassian Confluence kritis yang diungkapkan minggu lalu sekarang sedang dieksploitasi secara aktif di alam liar, para peneliti memperingatkan.

Menurut peneliti di Rapid7, bug yang dimaksud (CVE-2022-26138, salah satu dari tiga patch minggu lalu) disebabkan oleh kata sandi yang di-hardcode di aplikasi Questions for Confluence, yang memungkinkan penyerang siber mendapatkan akses lengkap ke data dalam platform Confluence Server dan Confluence Data Center lokal.

Lebih khusus lagi, setelah diinstal, aplikasi Questions for Confluence akan “membuat akun pengguna dengan kata sandi hard-code dan menambahkan akun ke grup pengguna, yang memungkinkan akses ke semua halaman tidak terbatas di Confluence,” menurut Postingan Rapid7. “Ini dengan mudah memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menelusuri instance Confluence organisasi.”

Taruhannya tinggi. Banyak organisasi menggunakan Confluence untuk manajemen proyek dan kolaborasi di antara tim yang tersebar di lokasi lokal dan terpencil. Seringkali lingkungan Confluence dapat menampung data sensitif pada proyek yang mungkin sedang dikerjakan oleh suatu organisasi, atau menyimpannya pada pelanggan dan mitranya.

Organisasi didesak untuk menambal dengan cepat karena kata sandi diumumkan minggu lalu, mendorong tindakan darurat oleh Atlassian. Confluence sayangnya merupakan target populer bagi penyerang, sebagaimana dibuktikan oleh eksploitasi aktif bug yang dilacak sebagai CVE-2022-26134 pada bulan Juni, digunakan untuk menyebarkan ransomware.

Admin harus mencatat: Bug hanya ada ketika aplikasi Pertanyaan untuk Confluence diaktifkan, dan itu tidak memengaruhi instance Confluence Cloud. Namun, yang terpenting, “mencopot pemasangan aplikasi Questions for Confluence tidak memulihkan kerentanan ini,” menurut penasihat Atlassian minggu lalu.

“Confluence tidak kekurangan berita utama,” kata Rick Holland, CISO di Digital Shadows, melalui email. “Kata sandi yang di-hardcode secara signifikan meningkatkan kemungkinan eksploitasi, terutama ketika kata sandi dibagikan secara luas. Jika Anda bermain sepak bola, kata sandi hardcode adalah 'gol bunuh diri'. Musuh mencetak cukup banyak gol sendirian; kita tidak perlu memasukkan bola ke gawang kita sendiri. Jangan pernah menggunakan kata sandi yang di-hardcode; luangkan waktu untuk menyiapkan autentikasi yang tepat dan meminimalkan risiko di masa mendatang.”