Atlassian avise les utilisateurs de désactiver ou de limiter l’accès Internet à Confluence

Les utilisateurs du logiciel de collaboration Confluence d’Atlassian ont été avisés de restreindre l’accès Internet au logiciel ou de le désactiver en raison d’une vulnérabilité critique. À minuit HAE le 2 juin, la société n’avait toujours pas de correctif pour le problème et n’a pas non plus donné de délai de résolution.

Source: WhataWin / Getty

Un avis d’Atlassian daté du 2 juin avertit que cette « exploitation actuellement active » a été détectée.

La Cybersecurity & Infrastructure Agency (CISA) des États-Unis « recommande fortement aux organisations de consulter l’avis de sécurité Confluence 2022-06-02 pour plus d’informations ». La CISA exhorte les organisations utilisant les produits Confluence Server et Data Center d’Atlassian concernés à bloquer tout le trafic Internet vers et depuis ces systèmes jusqu’à ce qu’une mise à jour soit disponible et appliquée avec succès.

Le blocage de l’accès rendrait la collaboration impossible sans accès VPN depuis l’extérieur du pare-feu d’une entreprise. À une époque où le télétravail est si important, cela pourrait soit être un inconvénient majeur, soit potentiellement rendre le logiciel inutilisable par les télétravailleurs. Étant donné que le site Web d’Atlassian indique que Confluence compte plus de 60 000 utilisateurs dans le monde, cela pourrait avoir un impact important sur un grand nombre d’entreprises.

La société de sécurité Volexity a détecté la vulnérabilité et l’a signalée à Atlassian. Volexity a publié son analyse dans un blog sur son site internet.

Selon Volexity, « l’attaquant avait exploité une vulnérabilité zero-day (CVE-2022-26134), qui permettait l’exécution à distance de code non authentifié sur les serveurs ». L’analyse poursuit en avertissant que « ces types de vulnérabilités sont dangereux car les attaquants peuvent exécuter des commandes et prendre le contrôle total d’un système vulnérable sans informations d’identification tant que des requêtes Web peuvent être envoyées au serveur Confluence ».

L’attaquant a déployé une copie en mémoire de l’implant BEHINDER. Veloxity indique qu ‘« il s’agit d’un implant de serveur Web très populaire dont le code source est disponible sur GitHub ». BEHINDER permet aux attaquants d’utiliser des webshells uniquement en mémoire avec un support intégré pour l’interaction avec Meterpreter et Cobalt Strike.

La présence en mémoire de l’implant BEHINDER est particulièrement dangereuse car il permet à l’attaquant d’exécuter des instructions sans écrire de fichiers sur le disque. Comme il n’a pas de persistance, un redémarrage de l’appareil ou du service l’effacera. Cependant, jusqu’à ce que cela soit fait, l’attaquant a accès au serveur et peut exécuter des commandes sans écrire de fichier de porte dérobée sur le disque.

L’avis d’Atlassian indique que toutes les versions prises en charge de Confluence Server et Data Center sont concernées. L’avis répète le conseil de restreindre l’accès à Internet ou de désactiver le serveur Confluence.

L’article original (en anglais) est disponible sur le site IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

La marque de rançongiciel Conti est morte, mais le groupe se restructure

Quatre des 15 principales vulnérabilités exploitées l’an dernier dataient de plus d’un an

Des attaques par rançongiciel plus ciblées en 2022

Traduction et adaptation française par Renaud Larue-Langlois

Jim Love
Jim Love
Jim œuvre dans les domaines de l'informatique et des affaires depuis plus de 30 ans. Il a gravi les échelons à partir de la salle du courrier et a fait tous les métiers, du commis au courrier au PDG. Aujourd'hui, il est directeur des systèmes d'information et de la stratégie numérique chez IT World Canada – le leader canadien de l'édition en TI et du marketing numérique.

Articles connexes

Microsoft publie un correctif pour les contrôleurs de domaine

Microsoft a publié un correctif hors bande pour un...

Cisco identifie des vulnérabilités dans son « Identity Services Engine »

La solution de contrôle d'accès au réseau de Cisco Systems comporte cinq vulnérabilités classées Élevées qui pourraient permettre à un attaquant distant authentifié d'injecter des commandes arbitraires du système d'exploitation, de contourner les protections de sécurité et de mener des attaques de script intersite.

Mise à jour d’OpenSSL pour corriger une vulnérabilité critique

Le projet OpenSSL publiera le 1er novembre un correctif pour une vulnérabilité critique de sa bibliothèque de sécurité open source, un événement rare auquel les développeurs d'applications et les administrateurs système devraient prêter attention.

Des centaines de milliers d’applications menacées par un bogue Python non corrigé

Plus de 350 000 référentiels de code source ouvert peuvent être compromis car ils incluent un module Python contenant une vulnérabilité non corrigée vieille de 15 ans.

Une vulnérabilité critique de SAP corrigée il y a des mois maintenant sur la liste des bogues exploités aux États-Unis

Une vulnérabilité critique de SAP qui a été corrigée en février vient d’être ajoutée à la liste des bogues de sécurité exploités d'une cyber-agence du gouvernement américain après avoir été discutée la semaine dernière lors de conférences sur la sécurité, ce qui laisse penser que la faille est actuellement exploitée.