La société australienne de logiciels Atlassian a publié des mises à jour de sécurité d’urgence pour corriger une vulnérabilité Zero Day de gravité maximale dans son logiciel Confluence Data Center and Server, qui a été exploitée lors d’attaques.

« Atlassian a été informé d’un problème signalé par une poignée de clients où des attaquants externes pourraient avoir exploité une vulnérabilité jusqu’alors inconnue dans les instances Confluence Data Center et Server accessibles au public pour créer des comptes d’administrateur Confluence non autorisés et accéder aux instances Confluence », a déclaré la société. dit.

« Les sites Atlassian Cloud ne sont pas concernés par cette vulnérabilité. Si votre site Confluence est accessible via un domaine atlassian.net, il est hébergé par Atlassian et n’est pas vulnérable à ce problème. »

Suivi comme CVE-2023-22515cette faille critique d’élévation de privilèges affecte Confluence Data Center et Server 8.0.0 et versions ultérieures et est décrite comme étant exploitable à distance dans le cadre d’attaques de faible complexité ne nécessitant pas d’interaction de l’utilisateur.

Il est conseillé aux clients utilisant des versions vulnérables de Confluence Data Center et Server de mettre à niveau leurs instances dès que possible vers l’une des versions corrigées (c’est-à-dire 8.3.3 ou version ultérieure, 8.4.3 ou version ultérieure, 8.5.2 ou version ultérieure).

Outre la mise à niveau et l’application de mesures d’atténuation, Atlassian encourage également ses clients à fermer les instances concernées ou à les isoler de l’accès à Internet si une application immédiate des correctifs n’est pas possible.

Les administrateurs peuvent supprimer les vecteurs d’attaque connus associés à cette vulnérabilité en empêchant l’accès aux points de terminaison /setup/* sur les instances Confluence.

« Les instances sur l’Internet public sont particulièrement menacées, car cette vulnérabilité est exploitable de manière anonyme », a ajouté Atlassian.

Il est conseillé aux administrateurs de vérifier les signes de violation

La société recommande également de vérifier toutes les instances Confluence pour détecter les indicateurs de compromission, notamment :

• membres inattendus du groupe confluence-administrator
• comptes d’utilisateurs nouvellement créés inattendus
• requêtes à /setup/*.action dans les journaux d’accès au réseau
• présence de /setup/setupadministrator.action dans un message d’exception dans atlassian-confluence-security.log dans le répertoire d’accueil de Confluence

Avec la publication d’un correctif, il existe une possibilité accrue que les acteurs malveillants comparent les correctifs de sécurité publiés pour découvrir la faiblesse corrigée, accélérant potentiellement la création d’un exploit utilisable.

Il est extrêmement important de sécuriser immédiatement les serveurs Confluence, compte tenu de leur attrait passé pour les acteurs malveillants, les incidents précédents impliquant les ransomwares AvosLocker et Cerber2021, les logiciels malveillants de botnet Linux et les mineurs de crypto soulignant l’urgence de la question.

L’année dernière, la CISA a ordonné aux agences fédérales de corriger une autre vulnérabilité critique de Confluence (CVE-2022-26138) exploitée à l’état sauvage, sur la base d’alertes précédentes d’une société de cybersécurité. Rapide7 et société de renseignement sur les menaces GrisBruit.