近期，Atlassian發(fā)布了安全更新，以解決Confluence服務(wù)器和數(shù)據(jù)中心中的一個嚴(yán)重硬編碼憑據(jù)漏洞，該漏洞編號為CVE-2022-26138，未經(jīng)身份驗證的遠(yuǎn)程攻擊者可以利用該漏洞登錄未打補丁的服務(wù)器。一旦安裝了Questions for Confluence 應(yīng)用程序（版本 2.7.34、2.7.35 和 3.0.2），就會創(chuàng)建一個用戶名為“ disabledsystemuser ”的 Confluence 用戶帳戶。根據(jù) Atlassian的說法，該帳戶允許管理員將數(shù)據(jù)從應(yīng)用程序遷移到Confluence Cloud。并且該帳戶是使用硬編碼密碼創(chuàng)建的，并被添加到 confluence-users組，默認(rèn)情況下允許查看和編輯 Confluence中的所有非受限頁面。

根據(jù)Atlassian 發(fā)布的公告，當(dāng)Confluence Server或Data Center上的Questions for Confluence 應(yīng)用程序啟用時，它會創(chuàng)建一個用戶名為 disabledsystemuser 的 Confluence 用戶帳戶。此帳戶旨在幫助將數(shù)據(jù)從應(yīng)用程序遷移到 Confluence Cloud 的管理員。disabledsystemuser 帳戶是使用硬編碼密碼創(chuàng)建的，并被添加到 confluence-users 組中，默認(rèn)情況下允許查看和編輯 Confluence 中的所有非受限頁面 。 知道硬編碼密碼的未經(jīng)身份驗證的攻擊者可以利用它登錄 Confluence 并訪問該組可以訪問的任何頁面。

該公司指出，卸載Questions for Confluence 應(yīng)用程序并不能解決此漏洞，因為在卸載應(yīng)用程序后，disabledsystemuser 帳戶不會被刪除。受影響的 Confluence Server 或 Data Center 實例的管理員可以通過以下操作修復(fù)此漏洞：

• 選項 1：更新到 Confluence 的非易受攻擊版本
• 選項 2：禁用或刪除 disabledsystemuser 帳戶

幸運的是，目前Atlassian并沒有收到利用此漏洞進行的野外攻擊。要確定是否有人使用硬編碼密碼登錄到 disabledsystemuser 帳戶，管理員可以獲取用戶上次登錄時間的列表，如果硬編碼帳戶的上次身份驗證時間為空，則意味著該帳戶從未用于訪問設(shè)備。