Une vulnérabilité majeure d'Atlassian Confluence récemment découverte dans presque toutes les versions de l'outil de collaboration (s'ouvre dans un nouvel onglet) publiées au cours de la dernière décennie, est maintenant activement exploitée par les acteurs de la menace, a confirmé la sociedad.
La vulnérabilité permet aux acteurs de la menace de monter des attaques d'exécution de code à distance non authentifiées contre des terminaux ciblés (Ouvre dans un nouvel onglet). Un jour après sa découverte, la société a publié des correctifs pour les versions 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 et 7.18.1.
La faille étant activement exploitée, la société a exhorté ses utilisateurs et clients à mettre immédiatement à jour l’outil (s’ouvre dans un nouvel onglet) vers la dernière version. Il est suivi comme CVE-2022-26134, mais n’a pas encore de score de gravité. Atlassian l'a classé comme « critique ».
Limiter l'accès à Internet
Il a été découvert pour la première fois par la société de sécurité Volexity, qui a déclaré que les attaquants pouvaient insérer un webshell Java Server Page dans un répertoire Web accessible au public sur un serveur Confluence.
Il a également été constaté que le processus d'application Web Confluence lançait des shells bash, ce qui "se démarquait", a déclaré Volexity, car il générait un processus bash qui engendrait un processus Python, générant ainsi un shell bash. .
Les utilisateurs de Confluence qui ne peuvent pas appliquer le correctif pour quelque raison que ce soit disposent d'options d'atténuation supplémentaires, qui consistent à limiter l'accès à Internet pour l'outil. Lors du développement du correctif, la société a conseillé aux utilisateurs de restreindre l'accès à Internet pour les instances Confluence Server et Data Center, ou de désactiver complètement les instances Confluence Server et Data Center.
Atlassian a également déclaré que les entreprises pourraient mettre en œuvre une règle de pare-feu d'application Web (WAF) pour bloquer toutes les URL contenant €{, car cela « pourrait réduire leurs risques ».
Bien que l'entreprise ait souligné « l'exploitation active actuelle » dans son avis, elle n'a pas précisé qui l'utilisait ni contre qui.
Via : Le registre (Ouvre dans un nouvel onglet)