Atlassian の Questions for Confluence:パスワード・ハードコードの脆弱性が FIX

Atlassian fixes critical Confluence hardcoded credentials flaw

2022/07/20 BleepingComputer — Atlassian は、Confluence Server/Data Center に存在するハードコードされた認証情報の脆弱性を修正し、リモートの未認証の攻撃者による、未パッチ・サーバーにログインを阻止した。このハードコードされたパスワードは、ユーザー名 disabledsystemuser のユーザー・アカウントで Questions for Confluence アプリ (Ver 2.7.34/2.7.35, 3.0.20) をインストールした後に追加され、管理者がアプリから Confluence Cloud にデータを移行する際に役立つように設計されている。

Atlassian によると、このアプリは、組織内の Q&A チームとのコミュニケーション改善するために、現時点で 8,000 台以上の Confluence サーバーにインストールされているとのことだ。

Atlassian は、水曜日に発表したセキュリティ・アドバイザリで、「disabledsystemuser アカウントはハードコードされたパスワードで作成され、デフォルトで Confluence 内の全ての非制限ページを閲覧/編集できる、confluence-users グループに追加されている。したがって、ハードコードされたパスワードを知っているリモートの未認証の攻撃者は、これを悪用して Confluence にログインし、confluence-users グループがアクセスできる全てのページにアクセスできる」と説明している。

Atlassian は、この脆弱性 CVE-2022-26138 が、野放し状態で悪用されているという証拠はなく、現時点では、被害報告を受けていないとしている。

その一方で同社は、「このアプリの影響を受けるバージョンをダウンロード/レビューした後に、ハードコードされたパスワードを入手することは容易である」と警告している。

Affected appAffected versions
Questions for Confluence 2.7.x2.7.342.7.35
Questions for Confluence 3.0.x3.0.2

可能な限り早急にパッチが適用されたバージョンにアップデートする

使用中のサーバーが、このハードコードされた認証情報の影響を受けるかどうかを判断したい管理者は、以下の情報を持つアクティブなユーザー・アカウントを確認する必要がある。

  • User: disabledsystemuser
  • Username: disabledsystemuser
  • Email: dontdeletethisuser@email.com

影響を受けるサーバーでは、Questions for Confluence アプリをアンインストールしても、この脆弱性は修正されず、攻撃ベクター (ハードコードされたパスワードを持つ disabledsystemuser アカウント) は削除されないだろう。

アップデートを直ちにインストールできない場合には、この問題を解決するために、パッチを適用したバージョンの Questions for Confluence にアップデートするか、disabledsystemuser アカウントを無効化/削除することを、Atlassian は推奨している。

Questions for Confluence アプリを修正済みのバージョン (Ver 2.7.x >= 2.7.38/Ver 3.0.5 以上) にアップデートすると、問題のあるユーザー・アカウントの作成は停止され、存在していれば、それが削除されるという。

アカウントを無効化/削除するには、このサポート・ドキュメントに記載されている詳細な手順を使用できる。

サーバー上で悪用されている証拠を探すには、インストラクションに従い disabledsystemuser の最終認証時間を確認する必要がある。結果が NULL の場合は、そのアカウントがシステム上に存在しても、そのアカウントを使用したサインインが行われていないことになる。

Confluence Server/Data Center の管理者に、利便性を提供するための Questions for Confluence が、パスワード・ハードコードをしてしまったという話です。単純なミスですが、それを悪用する攻撃が、すでに始まっているようです。7月22日 BleepingComputer Atlassian: Confluence hardcoded password was leaked, patch now!/7月23日 DarkReading Critical Bugs Threaten to Crack Atlassian Confluence Workspaces Wide Open。Questions for Confluence を利用している管理者は、早急な対応が必要です。