Atlassian corrige une faille de sécurité dans Confluence liée à des identifiants codés en dur
lundi 25 juillet 2022 à 08:55Atlassian a corrigé une nouvelle faille de sécurité critique dans une application pour Confluence Server et Confluence Data Center qui pourrait permettre à un attaquant de s'authentifier à distance sur un serveur non protégé. Faisons le point.
Associée à la référence CVE-2022-26138, cette faille de sécurité est liée à des identifiants codés en dur pour un compte nommé "disabledsystemuser". Ce compte sert à aider les administrateurs pour migrer des données d'une app vers Confluence Cloud. L'app en question qui intègre ces identifiants en dur, c'est "Questions for Confluence" dans plusieurs versions 2.7.34, 2.7.35, et 3.0.2. À ce jour, et d'après les statistiques de la marketplace d'Atlassian, ce sont environ 8 000 serveurs qui utilisent cette application et qui sont donc vulnérables à cette vulnérabilité.
Dans son bulletin de sécurité, Atlassian affirme : "Le compte disabledsystemuser est créé avec un mot de passe codé en dur et est ajouté au groupe confluence-users, qui permet par défaut de visualiser et de modifier toutes les pages non restreintes de Confluence.". Autrement dit, ce compte est présent avec le même nom d'utilisateur et le même mot de passe sur toutes les instances. De ce fait, cela signifie que : "Un attaquant distant et non authentifié connaissant le mot de passe codé en dur pourrait exploiter cette situation pour se connecter à Confluence et accéder à toutes les pages auxquelles le groupe confluence-users a accès.".
Bien qu'il n'y ait aucune évidence que cette vulnérabilité est exploitée dans le cadre d'attaques, d'après l'analyse d'Atlassian, il est recommandé de mettre à jour votre instance dès que possible. Désinstaller l'application "Questions for Confluence" de son serveur Confluence ne suffit pas, et si vous ne pouvez pas patcher pour le moment, Confluence recommande de patcher ou de supprimer (ou désactiver) le compte "disabledsystemuser" (voir cette doc) pour s'en débarrasser et se protéger contre ce vecteur d'attaque.
Enfin, l'éditeur précise que vous pouvez savoir si vous êtes affecté par cette vulnérabilité, en vérifiant si vous avez un compte utilisateur actif avec ces informations :
- Utilisateur : disabledsystemuser
- Identifiant : disabledsystemuser
- Email : dontdeletethisuser@email.com
Pour rappel, le mois dernier Atlassian Confluence était concerné par une faille de sécurité zero-day.
The post Atlassian corrige une faille de sécurité dans Confluence liée à des identifiants codés en dur first appeared on IT-Connect.