Unter bestimmten Voraussetzungen könnten Angreifer Atlassian Confluence Server und Data Center attackieren. Das Sicherheitsrisiko gilt als kritisch.
Die Wiki-Software Confluence Server und Data Center von Atlassian sind verwundbar. Confluence Cloud ist von der Sicherheitslücke nicht betroffen, versichern die Entwickler.
Systeme sind aber nur angreifbar, wenn die Q&A-Anwendung Questions for Confluence app installiert ist. Ist das der Fall, erzeugt die App für Confluence Server und Data Center automatisch einen Account mit dem Nutzernamen „disabledsystemuser“. Bei der Erstellung wird ein Standard-Passwort vergeben, in dessen Besitz Angreifer mit vergleichsweise wenig Aufwand kommen könnten.
Systeme betroffen?
Damit ausgestattet, könnten sie standardmäßig auf alle nicht eingeschränkten Seiten eines Wikis zugreifen. In einer Warnmeldung stufen die Entwickler die Schwachstelle (CVE-2022-26138) als „kritisch“ ein. Atlassian versichert, dass sie bislang keine Attacken beobachtet haben.
Admins sollten in ihren Confluence-Installationen prüfen, ob ein Account mit den folgenden Daten existiert:
- User: disabledsystemuser
- Username: disabledsystemuser
- Email: dontdeletethisuser@email.com
Ist das der Fall, sollten sie handeln. Konkret betroffen sind die Versionen Questions für Confluence 2.7.34, 2.7.35 und 3.0.2.
Jetzt handeln!
Eine Deinstallation der Anwendung löst das Sicherheitsproblem nicht, da der Account bestehen bleibt. Um Systeme abzusichern, müssen Admins die reparierte Ausgabe 2.7.38 oder 3.0.5 installieren. Alternativ kann man den Account deaktivieren beziehungsweise entfernen.
Über das Einsehen der Liste von angemeldeten Nutzern kann man prüfen, ob Angreifer die Lücke bereits ausgenutzt haben. Wie das geht, beschreiben die Entwickler in einem Beitrag.