Posté le septembre 6, 2021 à 20:24
UNE FAILLE CRITIQUE DANS LE LOGICIEL CONFLUENCE D’ATLASSIAN FAIT MAINTENANT L’OBJET D’UNE LOURDE ATTAQUE
US Cybercom a révélé qu’une vulnérabilité critique dans le logiciel Confluence Server d’Atlassian est maintenant attaquée. La vulnérabilité, connue sous le nom de CVE-2021-26084, a été divulguée la semaine dernière. Le fournisseur considère le bug d’exécution de code à distance comme un risque de sécurité important, puisqu’il est noté 9,8 sur l’échelle CVSS.
US Cybercom indique que l’exploitation de la vulnérabilité pourrait être plus étendue. « L’exploitation massive de la CVE-2021-26084 d’Atlassian Confluence est en cours et devrait s’accélérer », a déclaré US Cybercom. Des dirigeants ont également confirmé qu’ils ont vu l’exploitation se dérouler à l’échelle mondiale.
En conséquence, le Cybercome américain a mis en garde les équipes informatiques dans un avis public concernant l’exploitation. Il a conseillé aux utilisateurs d’obtenir un correctif pour la vulnérabilité dès que possible pour éviter d’être victime de l’exploitation.
Le bug est découvert dans les anciennes versions du serveur de Confluence
Un avis concernant cette vulnérabilité a été publié par Atlassian le 25 août. Le fournisseur a expliqué que la vulnérabilité, d’une gravité élevée, a été découverte dans certaines versions du serveur et du centre de données Confluence.
Le fournisseur a averti qu’une faille d’injection OGNL pouvait permettre à un utilisateur authentifié ou non d’exécuter du code arbitraire sur un centre de données ou une instance du serveur de Confluence.
Il ajoute que toutes les versions du centre de données ou du serveur Confluence antérieures à la publication de la mise à jour sont désormais vulnérables à l’exploitation.
Le fournisseur a ajouté que s’ils ne peuvent pas mettre à jour les dernières versions du patch, une autre solution est disponible.
Selon l’équipe de sécurité d’Atlassian, les utilisateurs concernés peuvent se protéger de l’exploit en exécutant le script à proximité du système d’exploitation sur lequel Confluence est hébergé. Cependant, le bug n’affecte pas le serveur sur site hébergé dans le cloud.
Les entreprises de sécurité mettent en garde contre la gravité de la vulnérabilité
Différents experts en sécurité ont montré comment les acteurs de la menace peuvent exploiter la vulnérabilité, en publiant des preuves de concepts pour expliquer comment cela est possible.
Dans un billet de blog, la société de sécurité Censys a déclaré que son équipe de chercheurs avait découvert une légère augmentation du nombre de vulnérabilités présentes sur les réseaux publics.
Censys a déclaré avoir identifié environ 13 500 instances vulnérables de Confluence le 31 août. Deux jours plus tard, le nombre d’instances vulnérables de Confluence a diminué à 11 689.
La société a déclaré que de nombreuses entreprises décident encore de déployer le logiciel sur site, même si la plupart des utilisateurs utilisent le service géré.
La société Bad Packet a déclaré avoir découvert des exploits et des analyses de masse provenant d’hôtes situés aux États-Unis, en Russie, à Hong Kong, au Brésil, au Népal et en Roumanie. Selon les chercheurs, les activités d’exploitation visaient les serveurs Confluence d’Atlassian qui sont vulnérables à l’exécution de code à distance.
Les chercheurs en sécurité ont admis que la vulnérabilité était très critique et que le problème serait grave si les acteurs de la menace étaient les premiers à automatiser les scans de l’exploit.
Ils ajoutent que, compte tenu de la nature de Confluence, il est fort possible que les composants soient déjà exposés via Internet.
Cela rend la situation encore plus inquiétante, car trois acteurs n’ont plus besoin d’un accès au réseau interne pour exploiter la vulnérabilité RCE.
Ils ont averti que les administrateurs devraient déployer le correctif disponible dès que possible tout en envisageant d’autres mesures d’atténuation en s’assurant qu’il n’y a pas d’accès public au serveur de Confluence.
Le fournisseur n’avait jamais publié les détails de l’exploit, car cela peut fournir à un acteur de la menace les informations dont il a besoin pour exploiter le serveur. Les cybercriminels étant déjà à l’œuvre pour détecter la vulnérabilité et lancer des attaques sur les systèmes exposés, les organisations ont été invitées à revêtir l’armure de sécurité et à faire tout ce qui est en leur pouvoir pour empêcher toute exploitation de leurs serveurs.
La liste des vulnérabilités critiques s’allonge
La dernière vulnérabilité de Confluence s’ajoute aux autres vulnérabilités qui ont été exploitées cette année. En l’état actuel des choses, le niveau d’exploitation réussie des vulnérabilités a considérablement augmenté, les hackers intensifiant leurs efforts pour compromettre les systèmes.
Atlassian a initialement déclaré que la vulnérabilité ne pouvait être exploitée que si l’utilisateur avait un compte actif sur le système. Mais cette affirmation est fausse, comme l’ont découvert récemment le fournisseur et d’autres chercheurs. L’avis a été mis à jour avec des informations concernant le correctif et d’autres mesures préventives que les organisations peuvent prendre.
