Posté le juillet 31, 2022 à 6:40

SELON LA CISA, DES HACKERS EXPLOITENT LA VULNÉRABILITÉ CONNUE DE CONFLUENCE

L’agence Américaine pour la cybersécurité et les infrastructures (CISA) a ajouté une vulnérabilité critique à son catalogue sur la base de preuves d’exploitation active.

Selon l’agence, la vulnérabilité, identifiée sous le nom de CVE-2022-26138, est liée à l’utilisation de fonds d’identifiants codés en dur dans le centre de données et le serveur Confluence. Le CISA a noté que la vulnérabilité peut donner aux attaquants distants la possibilité de coder en dur les informations d’identification après une exploitation réussie.

La semaine dernière, l’éditeur de logiciels Australien Atlassian a révélé que les hackers peuvent exploiter une version non corrigée de l’application Questions for Confluence et créer un compte avec des informations d’identification codées en dur. L’application Confluence est installée par plus de 8 000 utilisateurs, ce qui leur donne une grande marge de manœuvre pour mener à bien leur exploitation.

CISA exhorte les administrateurs à mettre à jour leur serveur

Après avoir fourni un correctif pour la vulnérabilité, la société a informé les administrateurs de mettre à jour leurs serveurs dès que possible. Elle a mis les administrateurs au courant que le mot de passe codé en dur est déjà vu et partagé en ligne et que seuls les serveurs patchés ou mis à jour seront à l’abri d’une telle exploitation.

« Ce problème est susceptible d’être exploité dans la nature maintenant que le mot de passe codé en dur est connu du public », a déclaré Atlassian. La société de sécurité a ajouté que les hackers sont capables d’utiliser des informations d’identification codées en dur pour se connecter à des centres de données vulnérables et au serveur Confluence pour mener leurs attaques.

Cette annonce intervient alors que la société de cybersécurité Rapid7 a publié un rapport avertissant que la vulnérabilité sera activement exploitée dans la nature. Cependant, aucune information n’a été fournie sur les attaques ou sur la manière dont les acteurs de la menace ont pu s’infiltrer dans le serveur.

Rapid7 a réalisé l’exploitation dès que les informations d’identification codées en dur ont été publiées. Ceci est dû au fait que Confluence est très apprécié des attaquants qui profitent généralement des failles de Confluence pour mener à bien leurs attaques de ransomware.

Les agences sécurisent leurs systèmes contre les attaques

Suite à la révélation de la CISA, les agences fédérales sécurisent désormais leurs serveurs contre les attaques. Le CISA a publié une directive opérationnelle contraignante en novembre dernier. Comme prévu, les agences fédérales civiles de l’exécutif (FCEB) ont également ajouté des couches de sécurité supplémentaires à leurs serveurs.

La CISA a également donné trois semaines aux agences fédérales pour sécuriser leurs serveurs et fournir les correctifs nécessaires pour prévenir les attaques sur leurs réseaux. L’agence est chargée de garantir la sécurité des serveurs en fournissant des rapports de renseignement précis et importants sur les cyberattaques imminentes. L’agence fait beaucoup plus pour aider les autres institutions à lutter efficacement contre les activités des acteurs de menaces.

L’agence a récemment publié une directive de sécurité BOD 22-01, qui ne s’applique qu’aux agences fédérales Américaines. La CISA a par ailleurs conseillé aux organisations de tout le pays de mettre immédiatement à jour leurs serveurs pour éviter d’être victimes de ces cyberattaques.

L’agence a ajouté que la découverte récente de cette vulnérabilité montre que les acteurs de la menace sont toujours à la recherche de failles qui leur permettront de frapper et de lancer des attaques sur le système ciblé.

Le CISA a ajouté des centaines de failles de sécurité à son catalogue depuis la publication de la directive. Après chaque découverte, l’agence informe les autres agences fédérales et leur ordonne de corriger la fuite pour éviter d’être exploitées.

De plus en plus d’acteurs de menaces ciblent les serveurs de Confluence

Les acteurs de menaces considèrent toujours les serveurs Confluence comme des cibles, d’où l’importance de les sécuriser. Cela a été démontré dans le passé par les ransomwares Cerber2021 et AvosLocker. Ils ont également été exploités à l’aide de mineurs de cryptomonnaie et de logiciels malveillants de type botnet Linux. Selon le CISA, l’attaque qui pourrait résulter de l’exposition de la vulnérabilité pourrait être réelle et catastrophique. Toutefois, la seule assurance réside dans le fait que, contrairement à d’autres logiciels malveillants tenaces, une simple mise à jour du serveur pourrait éviter ces menaces de sécurité.

La CISA a aussi mis en garde contre une nouvelle vulnérabilité  zero-day détectée par le géant technologique Microsoft dans ses produits Windows. L’agence a souligné que des correctifs ont déjà été fournis. Toutefois, les utilisateurs doivent mettre à jour leurs systèmes pour éviter d’être victimes de cette vulnérabilité.

À l’époque, la CISA a mis à jour son catalogue de vulnérabilités et y a inclus la faille zero-day découverte par les chercheurs en sécurité de Microsoft. La faille, baptisée CVE-2022-22047, affecte le CSRSS et une vulnérabilité d’élévation de privilège. La CISA a exhorté les agences et les organisations à consulter régulièrement son site Web pour obtenir plus d’informations sur toute vulnérabilité et sur la manière de protéger les serveurs.