Poco dopo la correzione di una vulnerabilità critica che si verifica dopo l’installazione dell’applicazione Questions For Confluence, gli hacker hanno iniziato a sfruttare gli endpoint esposti.
Si tratta della vulnerabilità CVE-2022-26138 associata a una password hardcoded per un account utente denominato disabledsystemuser.
All’interno della CVE viene riportato quanto segue:
“L’app Atlassian Questions For Confluence per Confluence Server e Data Center crea un account utente Confluence nel gruppo confluence-users con il nome utente disabledsystemuser e una password hardcoded. Un utente malintenzionato remoto e non autenticato con conoscenza della password hardcoded potrebbe sfruttarla per accedere a Confluence e accedere a tutti i contenuti accessibili agli utenti nel gruppo confluence-users. Questo account utente viene creato durante l’installazione delle versioni 2.7.34, 2.7.35 e 3.0.2 dell’app.”
Gli esperti notano che la vulnerabilità compare solo quando l’applicazione Atlassian Questions For Confluence è abilitata. Tuttavia, l’eliminazione dell’applicazione non elimina la vulnerabilità, poiché l’account dati codificato non viene rimosso quando l’applicazione viene disinstallata.
Non appena il nome utente e la password codificati sono stati pubblicati su Twitter, gli aggressori hanno subito iniziato a provare a utilizzarli per i propri scopi.
Per gli esperti, questa non è stata una sorpresa, dal momento che Confluence è un gustoso boccone per gli hacker che utilizzano le sue vulnerabilità per eseguire attacchi ransomware.
Gli esperti raccomandano agli utenti di aggiornare Confluence alle ultime versioni (2.7.38 e 3.0.5) o disabilitare/eliminare l’account il prima possibile.
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull’informatica in generale.
