Les utilisateurs de Confluence Server et Data Center sont invités à mettre à jour leurs systèmes en réponse à une vulnérabilité d’exécution de code à distance (RCE) qui est la cible d’attaques actives dans la nature.
La vulnérabilité (suivie sous le nom de CVE-2022-26134) ouvre la porte même aux attaquants non authentifiés pour atteindre RCE sur des systèmes non corrigés, avec toutes les versions prises en charge de Confluence Server et Data Center affectées. Les versions en fin de vie sont également susceptibles d’être impactées, mais cela n’est pas confirmé.
Les utilisateurs sont invités à appliquer les correctifs publiés par Atlassian, le développeur de logiciels derrière Confluence, vendredi 3 juin. Les entreprises incapables de corriger doivent appliquer les solutions de contournement recommandées, comme expliqué dans un conseil par Atlassian.
Avertissement CISA
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis est conseiller les agences fédérales américaines pour bloquer le trafic Internet vers les installations Confluence Server et Data Center et appliquer le correctif d’Atlassian ou supprimer les instances concernées d’ici la fermeture des bureaux le lundi 6 juin.
Les attaques contre la vulnérabilité sur les serveurs Atlassian Confluence connectés à Internet ont été enregistrées par des spécialistes de la réponse aux menaces chez Volexity et L’équipe de détection et de réponse gérées (MDR) de Rapid7.
Volexity rapporte que des attaques ont commencé la semaine dernière sur ce qui était à l’époque une vulnérabilité zero-day dans Atlassian Confluence Server. La vulnérabilité RCE a été utilisée pour déployer un implant de serveur Web basé sur Java en mémoire, connu sous le nom de « Behinder », dans le but d’échapper à la détection.
« Une fois Behinder déployé, l’attaquant a utilisé le webshell en mémoire pour déployer deux webshells supplémentaires sur le disque : HACHOIR DE CHINE et un shell de téléchargement de fichiers personnalisé », explique Volexity dans un article de blog technique.
Les outils et la technique à l’origine de l’attaque ont permis au chercheur sur les menaces de Volexity, Paul Rascagnères, de identifier la Chine comme le suspect le plus probable.
Confluence est une plate-forme logicielle de collaboration Web populaire. Le Daily Swig a demandé à Volexity de proposer une estimation du nombre de serveurs Confluence vulnérables connectés à Internet, ainsi que de spéculer sur l’objectif final des attaques.
Pas encore de réponse, mais nous mettrons à jour cette histoire au fur et à mesure que nous aurons plus d’informations.