Atlassian旗下企业维基与协同软件Confluence一款App写死在程序中(hardcoded)的密码,上周边人通过推特公布,可能让企业用户的内部资料因此被外人访问。Atlassian呼吁用户应尽快升级到最新版App。
Atlassian上周三发布关于3项漏洞的安全公告,其中一项是CVE-2022-26138,是发生在Confluence Server及Confluence Data Center专用的Questions for Confluence App。这项App可让用户快速获得Confluence常见问题的技术支持。
该漏洞出于该App一个账号密码写死(hardcoded)在程序代码中。根据Atlassian说明,在Confluence Server或Data Center启动Questions for Confluence App后,它会创建一个用户名称为disabledsystemuser的Confluence用户账号,该账号用于协助管理员将资料从App搬到Confluence Cloud。Disabledsystemuser建好时有个写死的密码,加入到用户群组,以方便用户查询、编辑Confluence所有默认非管制的维基页面。取得这个密码的远程非授权攻击者将可登录Confluence及访问Confluence合法用户具有访问权的任何页面。
在公布安全公告的隔天Atlassian又紧急公告,这个重要但写死的密码已被外部组织公布于推特上。CVE-2022-26138风险被列为重大。Atlassian指出,有鉴于密码已公开,受影响系统应立即解决该漏洞。
如果Confluence Server或Data Center执行实例上,出现激活中的disabledsystemuser用户或用户账号、或是dontdeletethisuser“@”email.com,表示系统曝险。但曾经安装Questions for Confluence App,之后又移除者也可能会发现上述资讯。
爆出漏洞的App是Confluence Server(2.7.x、3.0.x)或Data Center的Questions for Confluence App,访问Confluence Cloud的App则不受影响。Atlassian提醒,虽然有问题的App是会建密码写死的版本,但没有这些版本App的Confluence环境还是可能受影响。
解决方案有二:一是升级到更新版Questions for Confluence App,分别是2.7.38及3.0.5,最新版不会自动建disabledsystem账号,也会移除曾创建的账号。但如果Confluence是设置使用只读的外部目录(如Atlassian Cloud),则需使用另一个方法:即关闭或删除disabledsystem账号。
Atlassian警告,光是移除Questions for Confluence App并不能同时删除disabledsystemuser账号,必须安装最新版App。
上周Atlassian修补的另2个漏洞是CVE-2022-26136和CVE-2022-26137,是同属可让远程攻击者调用绕过Servlet Filters的漏洞。两项漏洞影响Confluence Server/Data Center、Bamboo Server/Data Center、Bitbucket Server/Data Center、Jira Server/Data Center、Jira Service Management Server、Fisheye及Crucible等。