Une semaine après qu’Atlassian ait déployé des correctifs pour contenir une faille critique dans son application Questions For Confluence pour Confluence Server et Confluence Data Center, la faille est maintenant activement exploitée dans la nature.
Le bogue en question est CVE-2022-26138, qui concerne l’utilisation d’un mot de passe codé en dur dans l’application qui pourrait être exploité par un attaquant distant non authentifié pour obtenir un accès illimité à toutes les pages de Confluence.
L’exploitation dans le monde réel fait suite à la publication des identifiants codés en dur sur Twitter, ce qui a incité l’éditeur de logiciels australien à donner la priorité aux correctifs afin d’atténuer les menaces potentielles ciblant cette faille.
«Il n’est pas surprenant qu’il n’ait pas fallu longtemps pour observer une exploitation une fois que les informations d’identification codées en dur ont été publiées, étant donné la grande valeur de Confluence pour les attaquants qui sautent souvent sur les vulnérabilités de Confluence pour exécuter des attaques par ransomware», a déclaré Glenn Thorpe, chercheur en sécurité chez Rapid7.
Il est intéressant de noter que le bogue n’existe que lorsque l’application Questions pour Confluence est activée.
Cela dit, la désinstallation de l’application Questions pour Confluence ne remédie pas à la faille, car le compte créé n’est pas automatiquement supprimé après la désinstallation de l’application.