La société de logiciels Atlassian a demandé aux utilisateurs de Confluence de restreindre l’accès à Internet de l’outil ou de le couper complètement après avoir trouvé une faille très grave qui est exploitée dans la nature.
L’outil collaboratif (s’ouvre dans un nouvel onglet) transporte depuis plusieurs années un bogue qui permet aux acteurs de la menace de monter des attaques d’exécution de code à distance non authentifiées contre les terminaux cibles (s’ouvre dans un nouvel onglet)a confirmé la société.
Tel que rapporté par Le registreAtlassian a signalé pour la première fois avoir trouvé la faille le 2 juin. Comme le correctif est toujours en cours d’élaboration et que le bogue est activement exploité, la société a exhorté les clients à prendre des mesures alternatives.
Une décennie de risques
Au début, la société pensait que seule la dernière version 7.18 de Confluence Server était vulnérable, car il y avait des preuves que cette version était attaquée. Cependant, une enquête plus approfondie a révélé que toutes les versions (à partir de 1.3.5) étaient vulnérables. La version 1.3.5 est sortie il y a près de dix ans, en 2013.
Le patch (s’ouvre dans un nouvel onglet) est toujours en cours de développement, la société promettant qu’il sortira d’ici la fin de la journée (3 juin). Bien que ce soit certainement une bonne nouvelle, toutes les entreprises pourraient ne pas arriver à temps pour le patch, étant donné que nous sommes vendredi.
Ceux qui veulent dormir paisiblement pendant le week-end ont le choix entre plusieurs options : soit restreindre l’accès à Internet des instances Confluence Server et Data Center, soit désactiver complètement les instances Confluence Server et Data Center. Atlassian a également déclaré que les entreprises pourraient implémenter une règle de pare-feu d’application Web (WAF) pour bloquer toutes les URL contenant ${, car cela « peut réduire vos risques ».
La faille, identifiée comme CVE-2022-26134, a été découverte pour la première fois par la société de sécurité Volexity. La société affirme que les attaquants pourraient insérer un webshell Jave Server Page dans un répertoire Web accessible au public sur un serveur Confluence.
« Le fichier était une copie bien connue de la variante JSP du webshell China Chopper », a écrit Volexity. « Cependant, un examen des journaux Web a montré que le fichier avait à peine été consulté. Le webshell semble avoir été écrit comme un moyen d’accès secondaire. »
Il a également été découvert que le processus d’application Web de Confluence lançait des shells bash, ce qui « s’est démarqué », a déclaré Volexity, car il a engendré un processus bash qui a déclenché un processus Python, engendrant un shell bash.
« Volexity pense que l’attaquant a lancé une seule tentative d’exploitation… qui à son tour a chargé un fichier de classe malveillant en mémoire. Cela a permis à l’attaquant d’avoir effectivement un webshell avec lequel il pouvait interagir via des requêtes ultérieures. L’avantage d’une telle attaque a permis à l’attaquant de ne pas doivent continuellement réexploiter le serveur et exécuter des commandes sans écrire de fichier de porte dérobée sur le disque. »
Via le registre (s’ouvre dans un nouvel onglet)