ट्विटर पर लीक हुआ कॉन्फ्लुएंस एन्क्रिप्टेड पासवर्ड

गेटी इमेजेज

एन्क्रिप्टेड पासवर्ड के साथ व्यापक रूप से उपयोग किए जाने वाले इंटरनेट से जुड़े एंटरप्राइज़ ऐप से भी बदतर क्या है? एन्क्रिप्टेड पासवर्ड को दुनिया को लीक करने के बाद उक्त एंटरप्राइज ऐप को आज़माएं।

एटलसियन ने बुधवार को खुलासा किया उत्पाद की तीन महत्वपूर्ण कमजोरियांसमेत सीवीई-2022-26138 प्रारूप में एन्क्रिप्ट किए गए पासवर्ड से उपजा है मिलने के लिए प्रश्न, एक ऐसा एप्लिकेशन जो उपयोगकर्ताओं को एटलसियन उत्पादों से संबंधित अक्सर पूछे जाने वाले प्रश्नों के लिए तुरंत समर्थन प्राप्त करने की अनुमति देता है। कंपनी ने चेतावनी दी कि पासकोड “प्राप्त करने के लिए तुच्छ” था।

कंपनी ने कहा कि क्वेश्चन टू मीट कार्यक्रम के प्रकाशन के समय 8,055 इंस्टॉलेशन थे। स्थापना के बाद, ऐप एक अक्षम उपयोगकर्ता नामक एक संगम उपयोगकर्ता खाता बनाता है, जिसका उद्देश्य प्रशासकों को ऐप और कॉन्फ्लुएंस क्लाउड सेवा के बीच डेटा स्थानांतरित करने में मदद करना है। इस खाते की सुरक्षा करने वाला एन्क्रिप्टेड पासवर्ड कॉन्फ्लुएंस के सभी अप्रतिबंधित पृष्ठों को देखने और संपादित करने की अनुमति देता है।

कंपनी ने कहा, “एन्क्रिप्टेड पासवर्ड के ज्ञान के साथ एक अनधिकृत रिमोट हमलावर इसका फायदा उठाकर कॉन्फ्लुएंस में लॉग इन कर सकता है और किसी भी पेज को एक्सेस कर सकता है, जिसे कंफ्लुएंस यूजर्स एक्सेस कर सकते हैं।” “प्रभावित प्रणालियों पर इस भेद्यता को तुरंत संबोधित करना महत्वपूर्ण है।”

एक दिन बाद, एटलसियन ने रिपोर्ट दी कि “एक तीसरे पक्ष ने ट्विटर पर कॉन्फ़िगर किए गए पासवर्ड की खोज की और सार्वजनिक रूप से खुलासा किया,” कंपनी को अपनी चेतावनियों को बढ़ाने के लिए प्रेरित किया।

READ  नया सोनी एक्सपीरिया अल्फा कैमरा फीचर अभी लीक हुआ है

“इस मुद्दे का जंगली में शोषण होने की संभावना है कि एन्क्रिप्टेड पासवर्ड जनता के लिए जाना जाता है,” अद्यतन कैसे-पाठ बताता है। “प्रभावित प्रणालियों पर इस भेद्यता को तुरंत संबोधित किया जाना चाहिए।”

कंपनी ने चेतावनी दी कि भले ही कॉन्फ्लुएंस इंस्टॉल में ऐप सक्रिय रूप से इंस्टॉल न हो, फिर भी यह असुरक्षित हो सकता है। एप्लिकेशन को अनइंस्टॉल करने से भेद्यता स्वतः ठीक नहीं होती क्योंकि सिस्टम पर अक्षम सिस्टम उपयोगकर्ता खाता अभी भी मौजूद है।

यह पता लगाने के लिए कि क्या सिस्टम कमजोर है, एटलसियन ने कॉन्फ्लुएंस उपयोगकर्ताओं को निम्नलिखित जानकारी वाले खातों की तलाश करने की सलाह दी:

  • उपयोगकर्ता: टूटा हुआ सिस्टम
  • उपयोगकर्ता नाम: टूटा हुआ सिस्टम
  • ईमेल: [email protected]

एटलसियन ने ऐसे खातों का पता लगाने के लिए और निर्देश दिए हैं यहाँ पर. भेद्यता संगम प्रश्न 2.7.x और 3.0.x की रिहाई को प्रभावित करती है। एटलसियन ने ग्राहकों के लिए समस्या को ठीक करने के दो तरीके पेश किए: “अक्षम उपयोगकर्ता” खाते को अक्षम करना या निकालना। कंपनी ने भी प्रकाशित किया यह सूची अक्सर पूछे जाने वाले प्रश्नों के उत्तर की।

शोषण के साक्ष्य की तलाश करने वाले उपयोगकर्ताओं को आकर्षित करने वाले निर्देशों का उपयोग करके अक्षम सिस्टम उपयोगकर्ता के अंतिम प्रमाणीकरण समय की जांच कर सकते हैं यहाँ पर. यदि परिणाम खाली है, तो इसका मतलब है कि खाता सिस्टम पर है, लेकिन किसी ने भी इसके साथ लॉग इन नहीं किया है। आदेश किसी भी हाल के लॉगिन प्रयासों को भी प्रदर्शित करते हैं जो सफल या असफल रहे थे।

READ  गेन्शिन इम्पैक्ट ने गेम के व्यापक डेमो के साथ गोरौ के लॉन्च का जश्न मनाया

भेद्यता रिपोर्टिंग सेवा बगक्राउड के संस्थापक केसी एलिस ने एक सीधे संदेश में लिखा, “अब जब पैच बाहर हो गए हैं, तो कोई पैच टीमों की उम्मीद कर सकता है और सार्वजनिक पीओसी का उत्पादन करने के लिए इंजीनियरिंग प्रयासों को काफी कम समय में उलट सकता है।” “एटलसियन स्टोर्स को दर्शकों का सामना करने वाले उत्पादों को तुरंत डिबग करना शुरू कर देना चाहिए, और फ़ायरवॉल के पीछे जितनी जल्दी हो सके। सलाहकार पाठ में टिप्पणियां शमन के रूप में कोई प्रॉक्सी फ़िल्टरिंग की सिफारिश नहीं करती हैं, यह सुझाव देती है कि कई ऑपरेटिंग पथ हैं। “

बुधवार को एटलसियन द्वारा प्रकट की गई अन्य दो कमजोरियां भी गंभीर हैं, जो निम्नलिखित उत्पादों को प्रभावित करती हैं:

  • बांस सर्वर और डाटा सेंटर
  • बिटबकेट सर्वर और डेटा सेंटर
  • कन्वर्जेंस सर्वर और डेटा सेंटर
  • क्राउड सर्वर और डेटा सेंटर
  • क्रूसिबल
  • मछली की आँख
  • जीरा सर्वर और डेटा सेंटर
  • जीरा सेवा प्रबंधन सर्वर और डेटा केंद्र

इन कमजोरियों को CVE-2022-26136 और CVE-2022-26137 के रूप में ट्रैक किया जाता है, जिससे दूरस्थ और अनधिकृत हैकर्स के लिए प्रथम और तृतीय पक्ष अनुप्रयोगों द्वारा उपयोग किए जाने वाले सर्वलेट फ़िल्टर को बायपास करना संभव हो जाता है।

“प्रभाव इस बात पर निर्भर करता है कि प्रत्येक ऐप किस फ़िल्टर का उपयोग करता है, और फ़िल्टर का उपयोग कैसे किया जाता है,” कंपनी उसने बोला. “एटलसियन ने ऐसे अपडेट जारी किए हैं जो इस भेद्यता के मूल कारण को ठीक करते हैं लेकिन इस भेद्यता के सभी संभावित परिणामों को व्यापक रूप से सूचीबद्ध नहीं किया है।”

READ  LG के आने वाले टीवी OLED की सबसे बड़ी खामियों में से एक को दूर करेंगे

कमजोर संगम सर्वर हमेशा से हैकर्स के लिए पसंदीदा स्लॉट रहे हैं जो इंस्टॉल करना चाहते हैं रैंसमवेयरऔर यह क्रिप्टोमाइनर्सऔर अन्य प्रकार के मैलवेयर। इस सप्ताह एटलसियन द्वारा प्रकट की गई कमजोरियां काफी गंभीर हैं कि प्रशासकों को अपने सिस्टम की गहन समीक्षा को प्राथमिकता देनी चाहिए, आदर्श रूप से सप्ताहांत की शुरुआत से पहले।

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा.