ما هو أسوأ من تطبيق مؤسسة متصل بالإنترنت مستخدم على نطاق واسع بكلمة مرور مشفرة؟ جرب تطبيق المؤسسة المذكور بعد تسريب كلمة المرور المشفرة إلى العالم.
كشف Atlassian يوم الأربعاء ثلاث نقاط ضعف حرجة في المنتج، بما فيها CVE-2022-26138 نابعًا من كلمة مرور مشفرة بتنسيق أسئلة للقاء، وهو تطبيق يتيح للمستخدمين تلقي الدعم بسرعة للأسئلة الشائعة المتعلقة بمنتجات Atlassian. وحذرت الشركة من أن رمز المرور كان “تافهاً للحصول عليه”.
وقالت الشركة إن برنامج “أسئلة من أجل التقاء” كان به 8055 منشأة في وقت النشر. عند التثبيت ، يُنشئ التطبيق حساب مستخدم Confluence يُطلق عليه اسم المستخدم المعطل ، والذي يهدف إلى مساعدة المسؤولين في نقل البيانات بين التطبيق وخدمة Confluence Cloud. تسمح كلمة المرور المشفرة التي تحمي هذا الحساب بعرض وتحرير جميع الصفحات غير المقيدة داخل Confluence.
وقالت الشركة: “يمكن لمهاجم بعيد غير مصدق ولديه معرفة بكلمة المرور المشفرة أن يستغل هذا لتسجيل الدخول إلى Confluence والوصول إلى أي صفحات يمكن لمجموعة مستخدمي التقاء الوصول إليها”. “من المهم معالجة هذه الثغرة الأمنية على الأنظمة المتأثرة على الفور.”
بعد يوم واحد ، عاد Atlassian للإبلاغ عن أن “طرفًا خارجيًا قد اكتشف وكشف علنًا عن كلمة المرور المكوّنة على Twitter” ، مما دفع الشركة إلى تصعيد تحذيراتها.
“هذه المشكلة من المحتمل أن يتم استغلالها في البرية الآن بعد أن أصبحت كلمة المرور المشفرة معروفة للجمهور” ، جاء في النص الإرشادي المحدث. “يجب معالجة هذه الثغرة الأمنية على الأنظمة المتأثرة على الفور.”
حذرت الشركة من أنه حتى في حالة عدم تثبيت التطبيق بشكل نشط في عمليات تثبيت Confluence ، فقد تظل عرضة للخطر. لا يؤدي إلغاء تثبيت التطبيق إلى معالجة الثغرة الأمنية تلقائيًا لأن حساب مستخدم النظام المعطل لا يزال موجودًا على النظام.
لمعرفة ما إذا كان النظام ضعيفًا ، نصح Atlassian مستخدمي Confluence بالبحث عن حسابات بالمعلومات التالية:
- المستعمل: نظام معطل
- اسم المستخدم: نظام معطل
- البريد الإلكتروني: dontdeletethisuser@email.com
قدم Atlassian مزيدًا من التعليمات لتحديد مواقع هذه الحسابات هنا. تؤثر الثغرة الأمنية على إصدار أسئلة Confluence 2.7.x و 3.0.x. قدم Atlassian طريقتين للعملاء لإصلاح المشكلة: تعطيل أو إزالة حساب “المستخدم المعطل”. نشرت الشركة أيضا هذه القائمة من الإجابات على الأسئلة المتداولة.
يمكن لجذب المستخدمين الذين يبحثون عن دليل الاستغلال التحقق من وقت المصادقة الأخير لمستخدم النظام المعطل باستخدام التعليمات هنا. إذا كانت النتيجة فارغة ، فهذا يعني أن الحساب موجود على النظام ، ولكن لم يقم أحد بتسجيل الدخول باستخدامه. تعرض الأوامر أيضًا أي محاولات تسجيل دخول حديثة كانت ناجحة أو غير ناجحة.
كتب كيسي إليس ، مؤسس خدمة الإبلاغ عن الثغرات الأمنية Bugcrowd ، في رسالة مباشرة: “الآن بعد أن خرجت التصحيحات ، يمكن للمرء أن يتوقع فرق التصحيح وعكس الجهود الهندسية لإنتاج POC عام في وقت قصير إلى حد ما”. “يجب أن تبدأ متاجر Atlassian في تصحيح المنتجات التي تواجه الجمهور على الفور ، وتلك الموجودة خلف جدار الحماية في أسرع وقت ممكن. وتشير التعليقات الواردة في النص الإرشادي التي توصي بعدم تصفية البروكسي باعتبارها التخفيف إلى وجود مسارات تشغيل متعددة.
الثغرتان الأخريان اللتان تم الكشف عنهما من قبل Atlassian يوم الأربعاء هما خطيران أيضًا ، ويؤثران على المنتجات التالية:
- خادم الخيزران ومركز البيانات
- خادم Bitbucket ومركز البيانات
- خادم التقاء ومركز البيانات
- خادم الحشد ومركز البيانات
- بوتقة
- عين السمكة
- خادم Jira ومركز البيانات
- خادم Jira Service Management Server ومركز البيانات
تم تتبع هذه الثغرات الأمنية باعتبارها CVE-2022-26136 و CVE-2022-26137 ، مما يجعل من الممكن للمتسللين البعيدين وغير المصادق عليهم تجاوز عوامل تصفية Servlet التي تستخدمها تطبيقات الطرف الأول والثالث.
“يعتمد التأثير على المرشحات التي يستخدمها كل تطبيق ، وكيفية استخدام المرشحات ،” الشركة قال. “أصدرت Atlassian تحديثات تعمل على إصلاح السبب الجذري لهذه الثغرة الأمنية ولكنها لم تعدد بشكل شامل جميع النتائج المحتملة لهذه الثغرة الأمنية.”
لطالما كانت خوادم التقاء الضعيفة الفتحة المفضلة للقراصنة الذين يتطلعون إلى التثبيت برامج الفديةو cryptominers وأنواع أخرى من البرامج الضارة. نقاط الضعف التي كشف عنها Atlassian هذا الأسبوع خطيرة بما يكفي بحيث يجب على المسؤولين إعطاء الأولوية لمراجعة شاملة لأنظمتهم ، من الناحية المثالية قبل بدء عطلة نهاية الأسبوع.