Atlassian, Confluence Server ve Data Center’da saldırganların uzaktan oturum açmasına izin verecek zafiyet için güncelleme yayınladı. Zafiyete neden olan ise hardcoded olarak sisteme eklenmiş bir password.
Güvenlik açığı, Questions for Confluence (sürüm 2.7.34, 2.7.35 ve 3.0.2) yüklenmesinden sonra etkin oluyor. Şirket bu uyulamanın tahmini olarak 8.000’den fazla Confluence sunucusuna kurulu olduğunu tahmin ediyor. Yapılan açıklamada “Disablesystemuser hesabı, hardcoded bir parola ile oluşturulur ve Confluence’da varsayılan olarak kısıtlama uygulanmamış sayfaların görüntülenmesine ve düzenlenmesine izin veren confluence-users grubuna eklenir. Bu parolaya sahip bir saldırgan sistem üzerine erişip çeşitli işlemler yapabilir” dedi.
Mümkün olan en kısa sürede güncellemeleri yükleyin
Sunucuların hardcoded password güvenlik açığından etkilenip etkilenmediğini kontrol etmek için aşağıdaki kullanıcı hesaplarının olup olmadığını kontrol edebilirler.
- User: disabledsystemuser
- Username: disabledsystemuser
- Email: dontdeletethisuser@email.com
Atlassian, Confluence’ın yamalı bir sürümüne güncelleme yapmanızı veya devre dışı bırakılmış sistem kullanıcı hesabını aktif ise devre dışı bırakmanızı/silmenizi öneriyor. Etkilenen sunucularda, Questions for Confluence uygulamasının kaldırılması bu güvenlik açığını gidermez ve saldırı vektörünü kaldırmaz. Questions for Confluence uygulamasının güncellenmesi (2.7.x >= 2.7.38 sürümleri veya 3.0.5’ten yüksek sürümler) sorunlu kullanıcı hesabını oluşturmayı durduracak ve varsa onu kaldırarak zafiyeti girecektir.
Son olarak sistemlerini kontrol etmek isteyen IT yöneticilerinin buradaki talimatları izleyerek takip edebilirler.
Kaynak: bleepingcomputer.com