CVE-2022-2613X
Trois nouvelles vulnérabilités critiques ont été révélées sur les applications Atlassian ces derniers jours, sur un grand nombre de produits parmi les plus connus, Confluence, Jira, ou d’autres moins connus comme Bamboo, Bitbucket ou encore Crowd et de versions de ceux-ci.
Ces vulnérabilités peuvent permettre la récupération d’un accès distant à des serveurs hébergés sur les applicatifs de cet éditeur en utilisant des applications tierces pour bypasser un filtre bien particulier. Elles ont été patchées à la source du problème, mais comme indiqué par l’entreprise Atlassian : “aucune énumération exhaustive des potentielles conséquences liées à cette vulnérabilité n’a été réalisée jusqu’ici”.
Les deux premières vulnérabilités, CVE-2022-26136 et CVE-2022-26137, l’envoi d’une requête HTTP spécifique peut faire appel à un filtre spécifique “Servlet Filter” utilisé par un grand nombre d’applications, internes comme tierces, pour répondre à ce genre de requêtes et aboutir à un contournement de l’authentification de plusieurs apps Atlassian sans que la victime ne soit alerté.
La troisième vulnérabilité, CVE-2022-26138, est exploitable notamment à travers un contournement de l’authentification à l’aide d’un mot de passe hard codé pour un utilisateur établi par défaut, dont les identifiants sont disponibles dans “Questions for Confluence”, identifiants permettant d’accéder par défaut à l’applicatif Confluence.
Si c’était comparé au football, un mot de passe hard codé équivaudrait à un but contre son camp.
Explications
Pour les CVE-2022-26136 et CVE-2022-26137, il n’existe pas à date de moyen évident d’identifier si les systèmes ont été compromis, il est donc recommandé de réaliser des investigations plus poussées si une version affectée est utilisée. une FAQ a été fournie par Atlassian à destination des clients pour les informer des actions à réaliser et des informations à connaître à ce sujet : FAQ for CVE-2022-26136 / CVE-2022-26137 | Atlassian Support
Il est notamment recommandé de vérifier l’intégrité des fichiers de l’application utilisée, pour vérifier qu’il n’y a pas de changement récent en lien avec ces CVE.
Pour la CVE-2022-26138, lorsque l’application Questions for Confluence est installée, un nouvel utilisateur est automatiquement créé et nommé disabledsystemuser. Son mot de passe est codé en dur et disponible dans des fichiers de propriétés.
Un attaquant non authentifié peut avec ce mot de passe et ce compte, se connecter à Confluence et accéder à toutes les pages et applications accessibles au groupe confluence-users.
Remédiation
Pour les CVE-2022-26136 et CVE-2022-26137 : Il est très fortement recommandé de mettre à jour chaque application vers les versions déclarées comme corrigées et non affectées.
Pour la CVE-2022-26138 : Que les systèmes aient ou non l’application spécifiquement d’installée, les outils Atlassian peuvent être vulnérables, car l’utilisateur créé peut rester résiduellement dans le système à la désinstallation de cette application.
Il est donc nécessaire de mettre à jour ses applicatifs vers les versions établies comme saines par Atlassian pour chacune individuellement, et de désactiver si possible immédiatement cet utilisateur à la source afin d’éviter tout accès non désiré à l’avenir.
Il est recommandé d’assurer un suivi sur les CVE impactant ses applications et services, et ici plus particulièrement sur ces CVE pour les utilisateurs de services Atlassian.
Proof Of Concept
Pour la CVE-2022-26138, l’exploitation est assez simple, et accessible à tous.
En effet, il suffit de remonter dans l’arborescence du serveur de fichiers de n’importe quelle installation de Questions for Confluence pour lire le fichier désiré.
Pour cela, nous avons donc téléchargé le plugin de l’application Questions for Confluence, qui contient donc les données de la configuration de l’applicatif entre autres :
Nous avons ensuite pu extraire les fichiers de l’archive jar
Suite à cela, nous avons pu lister le contenu des fichiers qui étaient présent dans cette archive, et on peut voir notamment un fichier default.properties.
En affichant le contenu de ce fichier en particulier, on peut voir un username, un email et un mot de passe qui sont définis par défaut, et qui sont fonctionnels s’ils n’ont pas été désactivés manuellement ou si la version des applications Atlassian n’a pas été mise à jour.
Les articles qui pourraient également vous intéresser ...
Webinaire : Transformez vos collaborateurs en cyberhéros !
- Jean-Michel
- 19 novembre 2024
- blog
MFA : Multi Factor Authentication
- Jean-Michel
- 9 juillet 2024
- blog
Le gestionnaire de mots de passe
- Anthony SCANDELLA
- 15 juin 2024
- blog / sécurité opérationnelle
Protégez votre réseau informatique
- Jean-Michel
- 2 mai 2024
- blog / Gouvernance / sécurité opérationnelle
Comment sécuriser votre Active Directory
- Jean-Michel
- 25 avril 2024
- blog / sécurité opérationnelle
EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes
- Jean-Michel
- 7 février 2024
- blog