CISA把Confluence將密碼寫死的安全漏洞納入已遭開採名單

美國網路安全及基礎設施安全局（CISA）於7月29日將CVE-2022-26138漏洞納入「已知遭開採漏洞」（Known Exploited Vulnerabilities）目錄，這是Atlassian於7月20日修補的Questions For Confluence密碼寫死漏洞，當時Atlassian便曾警告已有人將該服務的密碼公開，CISA則進一步證實該漏洞已被開採，要求美國聯邦機構在8月19日以前修補。

Questions For Confluence是個類似論壇的企業服務，讓使用者可透過問答來分享知識，或建立屬於企業的維基百科，然而，Atlassian替Questions For Confluence建立了一組預設的帳號及密碼，並將它們寫入程式碼，只要駭客取得該憑證，就能自遠端登入Confluence並存取所有內容，該漏洞影響Confluence伺服器與Confluence資料中心。根據估計，全球約有8,000臺伺服器啟用了Questions For Confluence。

由於只要得知內建的憑證就能開採該漏洞，且已經有人公開了寫死的憑證，代表CVE-2022-26138被開採只是早晚的事，CISA則確認已有駭客開採該漏洞並要求聯邦機構限期修補。