A week after Atlassian rolled out patches to contain a critical flaw in its Questions For Confluence app for Confluence Server and Confluence Data Center, the real-world exploitation follows the release of the hard-coded credentials on Twitter, prompting the Australian software company to prioritize patches to mitigate potential threats targeting the flaw.
アトラシアンは、Confluence Server および Confluence Data Center 用アプリ「Questions For Confluence」の重大な欠陥を抑制するパッチを配布してから1週間後、ハードコードされた認証情報が Twitter で公開されたことを受け、オーストラリアのソフトウェア会社は、この欠陥を標的とする潜在的な脅威を軽減するためのパッチを優先的に適用するよう促されることになったのです。
CISA added the issue in the Known Exploited Vulnerabilities Catalog as follows.
CVE-2022-26138 Vendor:Atlassian Product:Confluence
Vulnerability Name: Atlassian Questions For Confluence App Hard-coded Credentials Vulnerability
脆弱性の名称: Atlassian Questions For Confluence App のハードコードされたクレデンシャルの脆弱性
Date Added to Catalog: 2022-07-29
Short Description: Atlassian Questions For Confluence App has hard-coded credentials, exposing the username and password in plaintext. A remote unauthenticated attacker can use these credentials to log into Confluence and access all content accessible to users in the confluence-users group.
短い説明: Atlassian Questions For Confluence App にはハードコードされた認証情報があり、ユーザー名とパスワードが平文で公開されています。リモートの未認証の攻撃者はこれらの認証情報を使って Confluence にログインし、confluence-users グループ内のユーザーがアクセスできるすべてのコンテンツにアクセスできます。
Action: Apply updates per vendor instructions.
対処法: ベンダーの指示に従い、アップデートを適用してください。
Due Date: 2022-08-19
The vendor reports ...
Summary of Vulnerability
When the Questions for Confluence app is enabled on Confluence Server or Data Center, it creates a Confluence user account with the username disabledsystemuser. This account is intended to aid administrators that are migrating data from the app to Confluence Cloud. The disabledsystemuser account is created with a hardcoded password and is added to the confluence-users group, which allows viewing and editing all non-restricted pages within Confluence by default. A remote, unauthenticated attacker with knowledge of the hardcoded password could exploit this to log into Confluence and access any pages the confluence-users group has access to.
Confluence Server または Data Center で Questions for Confluence アプリが有効化されると、ユーザー名 disabledsystemuser の Confluence ユーザーアカウントが作成されます。このアカウントは、アプリから Confluence Cloud にデータを移行する管理者を支援するためのものです。disabledsystemuser アカウントはハードコードされたパスワードで作成され、confluence-users グループに追加されます。このグループはデフォルトで Confluence 内のすべての非制限ページの表示と編集を許可します。ハードコードされたパスワードを知っているリモートの未認証の攻撃者は、これを悪用して Confluence にログインし、confluence-users グループがアクセスできるすべてのページにアクセスすることができます。
How To Determine If You Are Affected
A Confluence Server or Data Center instance is affected if it has an active user account with the following information: Confluence Server または Data Center インスタンスは、以下の情報を持つアクティブなユーザーアカウントを持っている場合に影響を受けます。
User: disabledsystemuser
Username: disabledsystemuser
Email: dontdeletethisuser@email.com
(warning) It is possible for this account to be present if the Questions for Confluence app has previously been installed and uninstalled. (警告) 以前に Confluence 用の質問アプリをインストールおよびアンインストールしたことがある場合、このアカウントが存在する可能性があります。
If this account does not show up in the list of active users, the Confluence instance is not affected. このアカウントがアクティブユーザーのリストに表示されない場合、Confluence インスタンスは影響を受けません。
Translator's Note: It could be exploited if you just only uninstalled the app. 訳者注:アプリをアンインストールしただけでは侵害される可能性が残っています。
Option 1: Update to a non-vulnerable version of Questions for Confluence オプション 1: Questions for Confluence の脆弱性のないバージョンにアップデートする。
Option 2: Disable or delete the disabledsystemuser account .. オプション 2: disabledsystemuser アカウントを無効化または削除する。
Again, the software firm also emphasized that uninstalling the Questions for Confluence app does not address the vulnerability, as the created account does not get automatically removed after the app has been uninstalled. It's instead recommending that users either update to the latest version of the app or manually disable or delete the account.
もう一度言いますが、アプリをアンインストールしても、作成されたアカウントは自動的に削除されないため、「Questions for Confluence」アプリをアンインストールしても脆弱性に対処できないことも強調されています。その代わりに、ユーザーはアプリを最新バージョンにアップデートするか、手動でアカウントを無効化または削除することを推奨しています。
Translator's Note: Please also note that the other vulnerability CVE-2022-26134 is also listed in the Known Exploited Vulnerabilities Catalog.
訳者注:もう一つの脆弱性CVE-2022-26134も、Known Exploited Vulnerabilities Catalogに掲載されていますので、ご注意ください。
Sources/Refs:
- Known Exploited Vulnerabilities Catalog
- Questions For Confluence Security Advisory 2022-07-20 (updated on 22 Jul)
- Atlassian Rolls Out Security Patch for Critical Confluence Vulnerability (July 21, 2022)
- Latest Critical Atlassian Confluence Vulnerability Under Active Exploitation (July 28, 2022)
No comments:
Post a Comment