Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat am Freitag die kürzlich bekannt gewordene Atlassian-Sicherheitslücke in ihren Katalog der bekannten Sicherheitslücken aufgenommen, da es Hinweise auf eine aktive Ausnutzung gibt.
Die Schwachstelle mit der Bezeichnung CVE-2022-26138 betrifft die Verwendung von fest codierten Anmeldeinformationen, wenn die Questions For Confluence App in Confluence Server- und Data Center-Instanzen aktiviert ist.
„Ein entfernter, nicht authentifizierter Angreifer kann diese Anmeldedaten verwenden, um sich in Confluence anzumelden und auf alle Inhalte zuzugreifen, die für Benutzer der Gruppe confluence-users zugänglich sind“, schreibt die CISA in ihrem Advisory.
Je nach den Seitenbeschränkungen und den Informationen, die ein Unternehmen in Confluence hat, könnte eine erfolgreiche Ausnutzung der Lücke zur Offenlegung sensibler Informationen führen.
Obwohl der Fehler letzte Woche vom Softwareunternehmen Atlassian in den Versionen 2.7.38 und 3.0.5 behoben wurde, wird er seither aktiv ausgenutzt, wie das Cybersecurity-Unternehmen Rapid7 diese Woche mitteilte.
„Wir gehen aber davon aus, dass sich das ändern wird“, sagte Erick Galinkin, leitender KI-Forscher bei Rapid7, gegenüber The Hacker News.
„Die gute Nachricht ist, dass sich die Schwachstelle in der Questions for Confluence App und nicht in Confluence selbst befindet, was die Angriffsfläche deutlich verringert.
Da die Schwachstelle nun in den Katalog aufgenommen wurde, sind die Bundesbehörden der zivilen Exekutive (FCEB) in den USA verpflichtet, bis zum 19. August 2022 Patches zu installieren, um ihre Anfälligkeit für Cyberangriffe zu verringern.
„Zu diesem Zeitpunkt ist die Schwachstelle erst seit relativ kurzer Zeit bekannt“, so Galinkin. „Zusammen mit der Tatsache, dass es keine nennenswerten Aktivitäten nach der Ausnutzung der Schwachstelle gibt, haben wir noch keine Bedrohungsakteure, die mit den Angriffen in Verbindung gebracht werden können.