Redazione RHC : 29 Luglio 2022 13:25
Poco dopo la correzione di una vulnerabilità critica che si verifica dopo l’installazione dell’applicazione Questions For Confluence, gli hacker hanno iniziato a sfruttare gli endpoint esposti.
Si tratta CVE-2022-26138 associata a una password hardcoded per un account utente denominato disabledsystemuser.
All’interno della CVE viene riportato quanto segue:
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
“L’app Atlassian Questions For Confluence per Confluence Server e Data Center crea un account utente Confluence nel gruppo confluence-users con il nome utente disabledsystemuser e una password hardcoded. Un utente malintenzionato remoto e non autenticato con conoscenza della password hardcoded potrebbe sfruttarla per accedere a Confluence e accedere a tutti i contenuti accessibili agli utenti nel gruppo confluence-users. Questo account utente viene creato durante l’installazione delle versioni 2.7.34, 2.7.35 e 3.0.2 dell’app.”
Gli esperti notano che la vulnerabilità compare solo quando l’applicazione Atlassian Questions For Confluence è abilitata. Tuttavia, l’eliminazione dell’applicazione non elimina la vulnerabilità, poiché l’account dati codificato non viene rimosso quando l’applicazione viene disinstallata.
Non appena il nome utente e la password codificati sono stati pubblicati su Twitter, gli aggressori hanno subito iniziato a provare a utilizzarli per i propri scopi.
Per gli esperti, questa non è stata una sorpresa, dal momento che Confluence è un gustoso boccone per gli hacker che utilizzano le sue vulnerabilità per eseguire attacchi ransomware.
Gli esperti raccomandano agli utenti di aggiornare Confluence alle ultime versioni (2.7.38 e 3.0.5) o disabilitare/eliminare l’account il prima possibile.
Redazione
