สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของอเมริกา (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัยของ Atlassian ที่มีหมายเลข CVE-2022-26138 มี CVSS: 8.6 เข้าสู่ Known Exploited Vulnerabilities Catalog (KEV) เนื่องจากพบว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีเป็นวงกว้างอยู่ในปัจจุบัน

โดยช่องโหว่นี้จะทำให้ผู้โจมตีได้ข้อมูล hardcoded credentials ของระบบ จากการโจมตีผ่านทาง Questions For Confluence app ที่ถูกเปิดใช้งานบน Confluence Server และ Data Center instances

ลักษณะของช่องโหว่

เมื่อมีการเปิดใช้งาน Questions for Confluence App บน Confluence Server หรือ Data Center ตัว App จะสร้างบัญชีผู้ใช้ Confluence ด้วย Username: disabledsystemuser และจะถูกเพิ่มลงไปใน Confluence-User group ซึ่งบัญชีนี้มีวัตถุประสงค์เพื่อช่วยให้ผู้ดูแลระบบสามารถย้ายข้อมูลไปที่ Confluence Cloud

โดย User นี้ถูกสร้างขึ้นด้วยรหัสผ่านแบบ Hard-Code หรือก็คือเป็นรหัสผ่านที่มีค่าตายตัวของมันอยู่แล้ว ซึ่งทำให้ผู้โจมตีที่มีความรู้เกี่ยวกับ Hard-Code สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเข้าสู่ระบบ Confluence ได้ทันที

วิธีตรวจสอบว่าระบบได้รับผลกระทบจากช่องโหว่นี้หรือไม่
ให้ตรวจสอบว่า Confluence Server หรือ Data Center มีบัญชีผู้ใช้ตามรายการด้านล่างนี้หรือไม่

Username: disabledsystemuser
Email: dontdeletethisuser@email.