Atlassian a corrigé une faille d’identification codée en dur dans Questions for Confluence et les contournements de filtre de servlet dans plusieurs autres produits.
Le fournisseur australien d’outils de développement de logiciels et de collaboration a publié hier (20 juillet) des avis de sécurité contenant des instructions pour appliquer les mises à jour et les mesures d’atténuation.
Contournement du filtre de servlet
Les failles de contournement du filtre de servlet affectent plusieurs versions de Bamboo Server et Data Center, Bitbucket Server et Data Center, Confluence Server et Data Center, Crowd Server et Data Center, Fisheye et Crucible, Jira Server et Data Center, et Jira Service Management Server and Data Centre.
Des correctifs ont été déployés sur les sites Atlassian Cloud.
Les filtres de servlet interceptent et traitent les requêtes HTTP avant qu’une requête client ne soit envoyée à une ressource backend, et à partir d’une ressource backend avant qu’elles ne soient envoyées à un client.
Une vulnérabilité identifiée comme CVE-2022-26136 permettait à un attaquant non authentifié de contourner les filtres de servlet utilisés par des applications propriétaires et tierces encore non spécifiées.
L’impact dépend des filtres utilisés par une application et de la manière dont ils sont utilisés, a déclaré Atlassian.
« Atlassian a publié des mises à jour qui corrigent la cause première de cette vulnérabilité, mais n’a pas énuméré de manière exhaustive toutes les conséquences potentielles », lit-on dans le conseil en sécurité.
Atlassian a déterminé que des attaquants non authentifiés pouvaient envoyer une requête HTTP spécialement conçue pour contourner les filtres de servlet personnalisés et l’authentification utilisés par les applications tierces pour appliquer l’authentification, ou pour contourner le filtre de servlet utilisé pour valider les gadgets Atlassian légitimes et réaliser des scripts intersites (XSS) .
Une autre vulnérabilité permet à un attaquant non authentifié de provoquer l’invocation de filtres de servlet supplémentaires lorsque l’application traite des requêtes ou des réponses (CVE-2022-26137).
Atlassian a déclaré avoir résolu le seul problème de sécurité connexe connu – un contournement du partage des ressources cross-origin (CORS) par lequel une requête HTTP spécialement conçue pourrait invoquer le filtre de servlet utilisé pour répondre aux requêtes CORS.
Questions pour Confluence
Les informations d’identification codées en dur dans Questions for Confluence, une application de style forum pour la plate-forme wiki d’entreprise Confluence, sont créées pour un compte d’utilisateur avec le nom d’utilisateur utilisateursystèmedésactivéqui aide les administrateurs à migrer les données de l’application vers Confluence Cloud.
La utilisateursystèmedésactivé compte « est ajouté au groupe confluence-users, qui permet de visualiser et de modifier toutes les pages non restreintes au sein de Confluence par défaut », lit le correspondant conseil en sécurité.
« Un attaquant distant non authentifié connaissant le mot de passe codé en dur pourrait exploiter cela pour se connecter à Confluence et accéder à toutes les pages auxquelles le groupe confluence-users a accès. »
« Bien qu’Atlassian n’ait reçu aucun rapport faisant état de l’exploitation de ce problème dans la nature, le mot de passe codé en dur est trivial à obtenir », a déclaré Atlassian.
La faille (CVE-2022-26138) s’applique lorsque l’application Questions for Confluence est activée sur Confluence Server ou Data Center. Confluence Cloud n’est pas affecté.
Atlassian a averti que la désinstallation de l’application Questions for Confluence ne corrige pas à elle seule la vulnérabilité, car cela ne supprime pas le utilisateursystèmedésactivé Compte.
Au lieu de cela, les utilisateurs doivent soit manuellement désactiver ou supprimer ces comptes ou mettre à jour Questions for Confluence vers la version 2.7.38 ou 3.0.5, ce qui supprime et arrête la création du compte utilisateur en question.
Les utilisateurs peuvent déterminer si la faille a été exploitée sur leur instance en examen des heures de dernière connexion des utilisateurs. « Si la dernière heure d’authentification pour utilisateursystèmedésactivé est nul, cela signifie que le compte existe mais que personne ne s’y est jamais connecté », a déclaré Atlassian.