image

Atlassian waarschuwt voor misbruik hardcoded wachtwoord in Confluence-app

vrijdag 22 juli 2022, 11:52 door Redactie, 2 reacties

Aanvallers maken actief misbruik van een hardcoded wachtwoord in de Questions for Confluence app om toegang tot Confluence-omgevingen te krijgen, zo waarschuwt softwarebedrijf Atlassian. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter.

Voor Confluence Server en Data Center zijn er allerlei uitbreidingen beschikbaar, waaronder Questions for Confluence. Via deze add-on is het mogelijk om kennis te delen en een Q&A community in Confluence op te zetten. Bij het inschakelen van de add-on wordt er een Confluence-gebruikersaccount aangemaakt bedoeld voor systeembeheerders om data van de app naar de Confluence Cloud te migreren.

Het betreffende account wordt met een hardcoded wachtwoord aangemaakt en toegevoegd aan de Confluence-gebruikersgroep. Daarmee is het standaard mogelijk om alle niet-afgeschermde pagina's binnen Confluence te bekijken en wijzigen. Een ongeauthenticeerde aanvaller die het hardcoded wachtwoord weet kan zo op Confluence inloggen en pagina's bekijken waar de Confluence-gebruikersgroep toegang toe heeft. Het wachtwoord is inmiddels op Twitter gepubliceerd.

Atlassian stelt dat het verwijderen van de Questions for Confluence app de kwetsbaarheid niet automatisch oplost. Het toegevoegde account wordt namelijk niet bij het verwijderen van de app verwijderd. Beheerders moeten dit account dan ook zelf uitschakelen of verwijderen. Daarnaast is er een update voor de Questions for Confluence app verschenen. De uitbreiding is volgens cijfers van Atlassian meer dan achtduizend keer geïnstalleerd.

Reacties (2)
22-07-2022, 15:34 door Shadowlight
Het wordt je vanaf het begin geleerd, nooit hardcoded wachtwoorden gebruiken in je programma's.
22-07-2022, 16:41 door Anoniem
Door Shadowlight: Het wordt je vanaf het begin geleerd, nooit hardcoded wachtwoorden gebruiken in je programma's.

en steeds wordt je ook verteld dat economische korte-termijn belangen altijd zullen prevaleren tenzij...

wasting energy here!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.