CVE-2022-2613X

Trois nouvelles vulnérabilités critiques ont été révélées sur les applications Atlassian ces derniers jours, sur un grand nombre de produits parmi les plus connus, Confluence, Jira, ou d’autres moins connus comme Bamboo, Bitbucket ou encore Crowd et de versions de ceux-ci.

Ces vulnérabilités peuvent permettre la récupération d’un accès distant à des serveurs hébergés sur les applicatifs de cet éditeur en utilisant des applications tierces pour bypasser un filtre bien particulier. Elles ont été patchées à la source du problème, mais comme indiqué par l’entreprise Atlassian : “aucune énumération exhaustive des potentielles conséquences liées à cette vulnérabilité n’a été réalisée jusqu’ici”.

Les deux premières vulnérabilités, CVE-2022-26136 et CVE-2022-26137, l’envoi d’une requête HTTP spécifique peut faire appel à un filtre spécifique “Servlet Filter” utilisé par un grand nombre d’applications, internes comme tierces, pour répondre à ce genre de requêtes et aboutir à un contournement de l’authentification de plusieurs apps Atlassian sans que la victime ne soit alerté.

La troisième vulnérabilité, CVE-2022-26138, est exploitable notamment à travers un contournement de l’authentification à l’aide d’un mot de passe hard codé pour un utilisateur établi par défaut, dont les identifiants sont disponibles dans “Questions for Confluence”, identifiants permettant d’accéder par défaut à l’applicatif Confluence.

Si c’était comparé au football, un mot de passe hard codé équivaudrait à un but contre son camp.

Explications

Pour les CVE-2022-26136 et CVE-2022-26137, il n’existe pas à date de moyen évident d’identifier si les systèmes ont été compromis, il est donc recommandé de réaliser des investigations plus poussées si une version affectée est utilisée. une FAQ a été fournie par Atlassian à destination des clients pour les informer des actions à réaliser et des informations à connaître à ce sujet : FAQ for CVE-2022-26136 / CVE-2022-26137 | Atlassian Support

Il est notamment recommandé de vérifier l’intégrité des fichiers de l’application utilisée, pour vérifier qu’il n’y a pas de changement récent en lien avec ces CVE.

Pour la CVE-2022-26138, lorsque l’application Questions for Confluence est installée, un nouvel utilisateur est automatiquement créé et nommé disabledsystemuser. Son mot de passe est codé en dur et disponible dans des fichiers de propriétés.

Un attaquant non authentifié peut avec ce mot de passe et ce compte, se connecter à Confluence et accéder à toutes les pages et applications accessibles au groupe confluence-users.

Remédiation

Pour les CVE-2022-26136 et CVE-2022-26137 : Il est très fortement recommandé de mettre à jour chaque application vers les versions déclarées comme corrigées et non affectées.

Pour la CVE-2022-26138 : Que les systèmes aient ou non l’application spécifiquement d’installée, les outils Atlassian peuvent être vulnérables, car l’utilisateur créé peut rester résiduellement dans le système à la désinstallation de cette application.

Il est donc nécessaire de mettre à jour ses applicatifs vers les versions établies comme saines par Atlassian pour chacune individuellement, et de désactiver si possible immédiatement cet utilisateur à la source afin d’éviter tout accès non désiré à l’avenir.

Il est recommandé d’assurer un suivi sur les CVE impactant ses applications et services, et ici plus particulièrement sur ces CVE pour les utilisateurs de services Atlassian.

Proof Of Concept

Pour la CVE-2022-26138, l’exploitation est assez simple, et accessible à tous.

En effet, il suffit de remonter dans l’arborescence du serveur de fichiers de n’importe quelle installation de Questions for Confluence pour lire le fichier désiré.

Pour cela, nous avons donc téléchargé le plugin de l’application Questions for Confluence, qui contient donc les données de la configuration de l’applicatif entre autres :

Nous avons ensuite pu extraire les fichiers de l’archive jar

Suite à cela, nous avons pu lister le contenu des fichiers qui étaient présent dans cette archive, et on peut voir notamment un fichier default.properties.

En affichant le contenu de ce fichier en particulier, on peut voir un username, un email et un mot de passe qui sont définis par défaut, et qui sont fonctionnels s’ils n’ont pas été désactivés manuellement ou si la version des applications Atlassian n’a pas été mise à jour.

Les articles qui pourraient également vous intéresser ...

Comment Sécuriser Votre Active Directory : Techniques et Meilleures Pratiques de Durcissement

Jean-Michel
25 avril 2024
blog

Commençons franchement, le durcissement d'un Active Directory n’est pas quelque chose de facile. Pour autant, garantir la sécurité de votre Active Directory est primordial. Quelles solutions s’offrent à vous ?

EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes.

Jean-Michel
7 février 2024
blog

EDR, le premier rempart contre les cyberattaques Les solutions EDR, pour Endpoint Detection & Response,…

Grandir et faire grandir - Interview d'Anthony

Jean-Michel
15 janvier 2024
blog

Ce mois ci, nous avons décidé d'interviewer Anthony. Anthony a rejoint Allistic en tant qu'alternant dans le cadre de son Mastère Expert Cybersécurité

Profitez des fêtes en toute sécurité : Maîtrisez les risques cyber pendant la période de Noël

Jean-Michel
18 décembre 2023
blog

La période de Noël apporte son lot de joie et de célébrations, mais elle s'accompagne…

Sécurité informatique des PME et ETI : L'externalisation, un allié stratégique

Jean-Michel
12 décembre 2023
blog

La cybersécurité demeure un enjeu crucial pour les PME et ETI, confrontées à des défis…

Allistic Obtient le Label Expert Cyber !

Nous sommes fiers et ravis d'annoncer une nouvelle réalisation qui témoigne de notre engagement constant envers l'excellence en matière de cybersécurité : Allistic a obtenu le prestigieux label Expert Cyber !

Cookie	Durée	Description
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durée	Description
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.

CVE-2022-2613X

CVE-2022-2613X

Explications

Remédiation

Proof Of Concept

Les articles qui pourraient également vous intéresser ...

Comment Sécuriser Votre Active Directory : Techniques et Meilleures Pratiques de Durcissement

EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes.

Grandir et faire grandir - Interview d'Anthony

Profitez des fêtes en toute sécurité : Maîtrisez les risques cyber pendant la période de Noël

Sécurité informatique des PME et ETI : L'externalisation, un allié stratégique

Allistic Obtient le Label Expert Cyber !

Newsletter.

Ne ratez pas les dernières infos de la cybersécurité