Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) pada hari Jumat menambahkan kelemahan keamanan Atlassian yang baru-baru ini diungkapkan ke Katalog Kerentanan yang Diketahui Tereksploitasi, berdasarkan bukti eksploitasi aktif.
Kerentanan, dilacak sebagai CVE-2022-26138, menyangkut penggunaan kredensial hard-code saat aplikasi Questions For Confluence diaktifkan di Confluence Server dan contoh Pusat Data.
“Penyerang jarak jauh yang tidak diautentikasi dapat menggunakan kredensial ini untuk masuk ke Confluence dan mengakses semua konten yang dapat diakses oleh pengguna di grup pengguna confluence,” catat CISA dalam penasehatnya.
Bergantung pada batasan halaman dan informasi yang dimiliki perusahaan di Confluence, eksploitasi kelemahan yang berhasil dapat mengarah pada pengungkapan informasi sensitif.
Meskipun bug telah diatasi oleh perusahaan perangkat lunak Atlassian minggu lalu dalam versi 2.7.38 dan 3.0.5, sejak itu telah dieksploitasi secara aktif, perusahaan keamanan siber Rapid7 mengungkapkan minggu ini.
“Upaya eksploitasi pada saat ini tampaknya tidak terlalu meluas, meskipun kami berharap itu akan berubah,” Erick Galinkin, peneliti AI utama di Rapid7, mengatakan kepada The Hacker News.
“Kabar baiknya adalah kerentanannya ada di aplikasi Questions for Confluence dan bukan di Confluence itu sendiri, yang mengurangi permukaan serangan secara signifikan.”
Dengan cacat yang sekarang ditambahkan ke katalog, Cabang Eksekutif Sipil Federal (FCEB) di AS diberi mandat untuk menerapkan tambalan paling lambat 19 Agustus 2022, untuk mengurangi paparan mereka terhadap serangan siber.
“Pada titik ini, kerentanan telah diketahui publik untuk waktu yang relatif singkat,” kata Galinkin. “Ditambah dengan tidak adanya aktivitas pasca-eksploitasi yang berarti, kami belum memiliki aktor ancaman yang dikaitkan dengan serangan tersebut.”