Aanvallers maken actief misbruik van een hardcoded wachtwoord in de Questions for Confluence app om toegang tot Confluence-omgevingen te krijgen, zo waarschuwt softwarebedrijf Atlassian. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter.

Voor Confluence Server en Data Center zijn er allerlei uitbreidingen beschikbaar, waaronder Questions for Confluence. Via deze add-on is het mogelijk om kennis te delen en een Q&A community in Confluence op te zetten. Bij het inschakelen van de add-on wordt er een Confluence-gebruikersaccount aangemaakt bedoeld voor systeembeheerders om data van de app naar de Confluence Cloud te migreren.

Het betreffende account wordt met een hardcoded wachtwoord aangemaakt en toegevoegd aan de Confluence-gebruikersgroep. Daarmee is het standaard mogelijk om alle niet-afgeschermde pagina's binnen Confluence te bekijken en wijzigen. Een ongeauthenticeerde aanvaller die het hardcoded wachtwoord weet kan zo op Confluence inloggen en pagina's bekijken waar de Confluence-gebruikersgroep toegang toe heeft. Het wachtwoord is inmiddels op Twitter gepubliceerd.

Atlassian stelt dat het verwijderen van de Questions for Confluence app de kwetsbaarheid niet automatisch oplost. Het toegevoegde account wordt namelijk niet bij het verwijderen van de app verwijderd. Beheerders moeten dit account dan ook zelf uitschakelen of verwijderen. Daarnaast is er een update voor de Questions for Confluence app verschenen. De uitbreiding is volgens cijfers van Atlassian meer dan achtduizend keer geïnstalleerd.