Atlassian đã phát hành các bản vá bảo mật để khắc phục lỗ hổng nghiêm trọng liên quan đến việc sử dụng thông tin xác thực được hard-coded, ảnh hưởng đến ứng dụng Questions For Confluence trong Confluence Server và Confluence Data Center.
Lỗ hổng có định danh CVE-2022-26138, phát sinh khi ứng dụng được đề cập được kích hoạt trên một trong hai dịch vụ, khiến nó tạo tài khoản người dùng Confluence với tên người dùng "disablesystemuser" [dùng để giúp quản trị viên chuyển dữ liệu từ ứng dụng sang Confluence Cloud].
Tài khoản này được tạo với mật khẩu được hard-coded, cho phép xem và chỉnh sửa tất cả các trang không bị hạn chế trong Confluence theo mặc định.
Công ty cho biết: "kẻ tấn công biết được mật khẩu hard-coded có thể dùng nó để đăng nhập vào Confluence và truy cập bất kỳ trang nào mà nhóm người dùng Confluence có quyền truy cập". "Mật khẩu được hard-coded có thể dễ dàng được tìm thấy sau khi tải xuống và kiểm tra các phiên bản bị ảnh hưởng của ứng dụng."
Lỗ hổng ảnh hưởng đến ứng dụng Questions trong các phiên bản Confluence 2.7.34, 2.7.35 và 3.0.2. Bản vá lỗ hổng có sẵn trong các phiên bản 2.7.38 và 3.0.5. Ngoài ra, người dùng có thể vô hiệu hóa hoặc xóa tài khoản disabledsystemuser để khắc phục lỗ hổng.
Atlassian không phát hiện dấu hiệu nào cho thấy lỗ hổng đã bị khai thác trong thực tế, nhưng người dùng có thể tìm kiếm các dấu hiệu về sự xâm phạm bằng cách kiểm tra thời gian xác thực cuối cùng của tài khoản: "Nếu thời gian xác thực lần cuối cho người dùng disabledsystemuser là null có nghĩa là tài khoản tồn tại nhưng chưa có ai đăng nhập vào".
Ngoài ra, công ty cũng đã vá hai lỗ hổng nghiêm trọng khác có định danh CVE-2022-26136 và CVE-2022-26137, ảnh hưởng đến nhiều sản phẩm, bao gồm:
- Bamboo Server và Data Center
- Bitbucket Server và Data Center
- Confluence Server và Data Center
- Crowd Server và Data Center
- Fisheye và Crucible
- Jira Server và Data Center
- Jira Service Management Server và Data Center
Việc khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công vượt qua kiểm tra xác thực trong các ứng dụng bên thứ ba, thực thi mã JavaScript tùy ý và phá vỡ cơ chế chia sẻ tài nguyên CORS trên các trình duyệt.
Tuy đã phát hành các bản cập nhật để khắc phục lỗ hổng CVE-2022-26137 nhưng Atlassian vẫn chưa liệt kê đầy đủ tất cả các hậu quả tiềm ẩn của lỗ hổng này.
Người dùng Atlassian nên thường xuyên kiểm tra và cập nhật lên phiên bản mới nhất của các sản phẩm đang sử dụng để giảm thiểu các nguy cơ bị khai thác tấn công.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Google đã chính thức công bố hỗ trợ DNS-over-HTTP/3 (DoH3) cho các thiết bị Android như một phần của bản cập nhật hệ thống Google Play để giữ các truy vấn DNS ở chế độ bí mật.
Tín nhiệm mạng | Cục Điều tra Liên bang Mỹ (FBI) đã cảnh báo về việc tội phạm mạng đang sử dụng các ứng dụng tiền điện tử giả mạo để lừa gạt các nhà đầu tư tài sản ảo.
Tín nhiệm mạng | Google đã phát hiện và loại bỏ hàng chục ứng dụng độc hại có trên Play Store đang phát tán mã độc Joker, Facestealer và Coper.
Tín nhiệm mạng | Sau khi ra mắt tính năng Data safety mới cho ứng dụng Android trên Play Store, Google dường như đã dự định xóa App Permissions khỏi cả ứng dụng dành cho thiết bị di động và web.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch độc hại lớn đã rà quét gần 1,6 triệu trang web WordPress để tìm các trang web sử dụng plugin chứa lỗ hổng cho phép tải tệp lên mà không cần xác thực.
Tín nhiệm mạng | Một công cụ lừa đảo mới được phát hiện nhắm vào người dùng PayPal đang cố gắng lấy cắp thông tin cá nhân từ nạn nhân, bao gồm ảnh và thông tin định danh của chính phủ.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
