Atlassian corrige une faille de sécurité dans Confluence liée à des identifiants codés en dur

Atlassian a corrigé une nouvelle faille de sécurité critique dans une application pour Confluence Server et Confluence Data Center qui pourrait permettre à un attaquant de s'authentifier à distance sur un serveur non protégé. Faisons le point.

Associée à la référence CVE-2022-26138, cette faille de sécurité est liée à des identifiants codés en dur pour un compte nommé "disabledsystemuser". Ce compte sert à aider les administrateurs pour migrer des données d'une app vers Confluence Cloud. L'app en question qui intègre ces identifiants en dur, c'est "Questions for Confluence" dans plusieurs versions 2.7.34, 2.7.35, et 3.0.2. À ce jour, et d'après les statistiques de la marketplace d'Atlassian, ce sont environ 8 000 serveurs qui utilisent cette application et qui sont donc vulnérables à cette vulnérabilité.

Dans son bulletin de sécurité, Atlassian affirme : "Le compte disabledsystemuser est créé avec un mot de passe codé en dur et est ajouté au groupe confluence-users, qui permet par défaut de visualiser et de modifier toutes les pages non restreintes de Confluence.". Autrement dit, ce compte est présent avec le même nom d'utilisateur et le même mot de passe sur toutes les instances. De ce fait, cela signifie que : "Un attaquant distant et non authentifié connaissant le mot de passe codé en dur pourrait exploiter cette situation pour se connecter à Confluence et accéder à toutes les pages auxquelles le groupe confluence-users a accès.".

Bien qu'il n'y ait aucune évidence que cette vulnérabilité est exploitée dans le cadre d'attaques, d'après l'analyse d'Atlassian, il est recommandé de mettre à jour votre instance dès que possible. Désinstaller l'application "Questions for Confluence" de son serveur Confluence ne suffit pas, et si vous ne pouvez pas patcher pour le moment, Confluence recommande de patcher ou de supprimer (ou désactiver) le compte "disabledsystemuser" (voir cette doc) pour s'en débarrasser et se protéger contre ce vecteur d'attaque.

Enfin, l'éditeur précise que vous pouvez savoir si vous êtes affecté par cette vulnérabilité, en vérifiant si vous avez un compte utilisateur actif avec ces informations :

  • Utilisateur : disabledsystemuser
  • Identifiant : disabledsystemuser
  • Email : [email protected]

Pour rappel, le mois dernier Atlassian Confluence était concerné par une faille de sécurité zero-day.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3946 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.