Sicherheitslücke: Hardcodiertes Passwort in Confluence wird aktiv ausgenutzt

Ein Lücke in einem Confluence-Bestandteil von Hersteller Atlassian wird bereits für Angriffe ausgenutzt. Updates stehen bereit.

Artikel veröffentlicht am ,
Eine Lücke in Confluence wird aktiv ausgenutzt.
Eine Lücke in Confluence wird aktiv ausgenutzt. (Bild: Atlassian)

Die US-amerikanische Cybersicherheitsbehörde Cyber Security and Information Security Agency (Cisa) warnt davor, dass eine Sicherheitslücke (CVE-2022-26138) in einem Bestandteil von Confluence des Herstellers Atlassian aktiv ausgenutzt wird. Die Cisa hat die Lücke auf eine entsprechende Liste gesetzt, mit der die Behörde über ausgenutzte Sicherheitslücken informiert. Ausgenutzt werden kann die Lücke nur, wenn die App Questions for Confluence aktiviert ist.

Dass die Lücke aktiv ausgenutzt wird, ist wenig überraschend. Immerhin handelt es sich dabei um ein hardcodiertes Passwort. Das soll laut Atlassian Migrationen in der Cloud erleichtern. Kennen allerdings Angreifer das Passwort, können aus der Ferne ohne weitere Authentifizierung die Inhalte von Confluence abgerufen werden, auf die die Nutzer in der Gruppe Confluence-users Zugriff haben.

Schon schnell nach Bekanntwerden der eigentlichen Lücken ist auch das hardcodierte Passwort online verbreitet worden. Wenig überraschend habe es dann nicht lange gedauert, bis die ersten aktiven Angriffe zu beobachten waren, schreibt das IT-Sicherheitsunternehmen Rapid7, das ebenfalls vor der Lücke warnt. Demnach würden Lücken in Confluence-Produkten häufig und schnell für Ransomware-Kampagnen ausgenutzt.

Hersteller Atlassian empfiehlt als Gegenmaßnahme, Updates einzuspielen. Eine Deinstallation der betroffenen App reiche nicht aus, da der erstellte Nutzer-Account mit dem hardcodierten Passwort dadurch nicht gelöscht werde. Erst Anfang Juni riet Atlassian dazu, die Confluence-Server abzuschalten. Hintergrund war eine Zero Day in der Software, die bereits aktiv ausgenutzt wurde. Über die Sicherheitslücke konnten Angreifer aus der Ferne ohne Authentifizierung Schadcode ausführen (Remote Code Execution, RCE).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Wabba 01. Aug 2022

Preise erhöhen

Termuellinator 31. Jul 2022

Selbst da wuerde ich bei kompetenten Entwicklern eine etwas weniger stuemperhafte...

Medulo 31. Jul 2022

Wenn Behörden anklopfen? Was dann? Evtl war das gewollt.. das ist genau das was dich...

ranzassel 31. Jul 2022

Politik "lernt" nicht in diesem Sinne und hat da auch gar kein Interesse daran. Politik...



Aktuell auf der Startseite von Golem.de
Updates für GPT-3 und GPT-4
GPT im Geschwindigkeitsrausch

OpenAIs Updates für GPT-4 und GPT-3 machen die Modelle zuverlässiger, vor allem aber anpassungsfähiger. Die Änderungen und neuen Features im Detail.
Von Fabian Deitelhoff

Updates für GPT-3 und GPT-4: GPT im Geschwindigkeitsrausch
Artikel
  1. Candy Crushed: Royal Match wird profitabelstes Mobile Game
    Candy Crushed
    Royal Match wird profitabelstes Mobile Game

    Die langanhaltende Dominanz von Candy Crush Saga ist vorbei. Das meiste Geld verdient jetzt ein Start-up aus Istanbul mit einem Puzzlespiel.

  2. Datenschutz: ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern
    Datenschutz
    ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

    Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.

  3. Donald E. Knuth: 30 Jahre Weihnachtsvorlesungen frei verfügbar
    Donald E. Knuth
    30 Jahre Weihnachtsvorlesungen frei verfügbar

    Ein bisschen theoretische Informatik, Algorithmen oder Mathematik zu Weihnachten? Wer das mag, kann nun sogar alle Vorlesungen hintereinander ansehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • TeamGroup Cardea Graphene A440 2 TB mit zwei Kühlkörpern 112,89€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • AVM FRITZ!Repeater 3000 AX 129€ • Philips Ambilight 77OLED808 2.599€ • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /