호주 소프트웨어 회사 Atlassian은 원격 공격자가 패치되지 않은 Confluence Server 및 Data Center 서버에 로그인할 수 있는 하드코딩된 자격 증명을 제공하는 치명적인 취약점을 즉시 패치하도록 고객에게 경고했습니다.

회사(Atlassian) 가 이번 주에 밝혔 듯이 Questions for Confluence 앱( 8,000개 이상의 서버 에 설치됨)은 관리자가 앱에서 Confluence Cloud로 데이터를 마이그레이션하는 데 도움이 되도록 하드코딩된 비밀번호로 disabledsystemuser 계정을 생성합니다 .

취약점( CVE-2022-26138 로 추적)을 해결하기 위한 보안 업데이트를 발표한 지 하루 후 , Atlassian은 하드코딩된 비밀번호가 발견되어 온라인에서 공유되었다는 점을 감안할 때 관리자에게 가능한 한 빨리 서버를 패치하라고 경고했습니다.

악용의 증거에 대한 패치 및 확인

잠재적인 공격을 방어하기 위해 Atlassian은 Questions for Confluence의 패치 버전으로 업데이트하거나 disabledsystemuser 계정을 비활성화/삭제할 것을 권장합니다.

Questions for Confluence 앱 을 고정 버전(버전 2.7.x >= 2.7.38 또는 3.0.5 이상)으로 업데이트하면 문제가 있는 사용자 계정이 있는 경우 제거됩니다.

서버가 이 하드코딩된 자격 증명 보안 결함의 영향을 받는지 확인하려면 다음 정보를 사용하여 활성 사용자 계정을 확인해야 합니다.

악용의 증거를 찾기 위해 회사가 제공하는 Query를 사용하여 disabledsystemuser 의 마지막 인증 시간을 확인할 수 있습니다 . 결과가 null 이면 계정이 시스템에 있지만 아직 아무도 이를 사용하여 로그인하지 않은 것입니다.

또한 영향을 받는 서버에서 Questions for Confluence 앱을 제거해도 공격 경로(즉, 하드코딩된 자격 증명)가 제거되지 않으며 패치되지 않은 시스템이 공격에 계속 노출되기에 주의가 필요합니다.

[출처]
https://www.bleepingcomputer.com/news/security/atlassian-confluence-hardcoded-password-was-leaked-patch-now/
https://confluence.atlassian.com/confkb/how-to-get-a-list-of-users-with-their-last-logon-times-985499701.html
https://cve.report/CVE-2022-26138

보안관제센터 MIR Team