Une vulnérabilité majeure d'Atlassian Confluence récemment découverte dans presque toutes les versions de l'outil de collaboration (s'ouvre dans un nouvel onglet) publiées au cours de la dernière décennie, est maintenant activement exploitée par les acteurs de la menace, a confirmé la société.

La vulnérabilité permet aux acteurs de la menace de monter des attaques d'exécution de code à distance non authentifiées contre des terminaux ciblés (Ouvre dans un nouvel onglet). Un jour après sa découverte, la société a publié des correctifs pour les versions 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 et 7.18.1.

Étant donné que la faille est activement exploitée, la société a exhorté ses utilisateurs et clients à mettre immédiatement à jour l'outil (s'ouvre dans un nouvel onglet) vers la dernière version. Il est suivi en tant que CVE-2022-26134, mais n'a pas encore de score de gravité. Atlassian l'a classé comme "critique".

Limiter l'accès à Internet

Il a été découvert pour la première fois par la société de sécurité Volexity, qui a déclaré que les attaquants pouvaient insérer un webshell Java Server Page dans un répertoire Web accessible au public sur un serveur Confluence.

Il a également été constaté que le processus d'application Web de Confluence lançait des shells bash, ce qui "s'est démarqué", a déclaré Volexity, car il a engendré un processus bash qui a engendré un processus Python, engendrant un shell bash. .

Les utilisateurs de Confluence qui ne peuvent pas appliquer le correctif pour quelque raison que ce soit disposent d'options d'atténuation supplémentaires, qui consistent à limiter l'accès à Internet pour l'outil. Lors du développement du correctif, la société a conseillé aux utilisateurs de restreindre l'accès à Internet pour les instances Confluence Server et Data Center, ou de désactiver complètement les instances Confluence Server et Data Center.

Atlassian a également déclaré que les entreprises pourraient implémenter une règle de pare-feu d'application Web (WAF) pour bloquer toutes les URL contenant €{, car cela "peut réduire vos risques".

Bien que la société ait mis l'accent sur "l'exploitation active actuelle" dans son avis, elle n'a pas précisé qui l'utilise ni contre qui.

Via : Le registre (Ouvre dans un nouvel onglet)

Share