Atlassian a averti les administrateurs qu’un exploit public est désormais disponible pour une faille de sécurité critique de Confluence qui peut être utilisée dans des attaques de destruction de données ciblant des instances exposées sur Internet et non corrigées.

Suivie comme CVE-2023-22518, il s’agit d’une vulnérabilité d’autorisation inappropriée avec un indice de gravité de 9,1/10 affectant toutes les versions du logiciel Confluence Data Center et Confluence Server.

Atlassian a averti dans une mise à jour de l’avis initial qu’il avait découvert un exploit accessible au public qui expose les instances accessibles au public à un risque critique.

« Dans le cadre de la surveillance continue de ce CVE par Atlassian, nous avons observé la publication publique d’informations critiques sur la vulnérabilité, ce qui augmente le risque d’exploitation », a déclaré la société.

« Aucun exploit actif n’a encore été signalé, même si les clients doivent prendre des mesures immédiates pour protéger leurs instances. Si vous avez déjà appliqué le correctif, aucune autre action n’est requise. »

Bien que les attaquants puissent exploiter cette vulnérabilité pour effacer les données sur les serveurs concernés, elle ne peut pas être utilisée pour voler les données stockées sur les instances vulnérables. Il est également important de mentionner que les sites Atlassian Cloud accessibles via un domaine atlassian.net ne sont pas affectés, selon Atlassian.

L’avertissement d’aujourd’hui fait suite à un autre émis par Bala Sathiamurthy, responsable de la sécurité de l’information (CISO) d’Atlassian, lorsque la vulnérabilité a été corrigée mardi.

« Dans le cadre de nos processus continus d’évaluation de la sécurité, nous avons découvert que les clients Confluence Data Center et Server sont vulnérables à une perte de données importante s’ils sont exploités par un attaquant non authentifié », a déclaré Sathiamurthy.

« Aucun cas d’exploitation active n’a été signalé pour le moment ; cependant, les clients doivent prendre des mesures immédiates pour protéger leurs instances. »

Atlassian a corrigé la vulnérabilité critique CVE-2023-22518 dans les versions Confluence Data Center et Server 7.19.16, 8.3.4, 8.4.4, 8.5.3 et 8.6.1.

Mesures d’atténuation disponibles

La société a exhorté les administrateurs à mettre à niveau leur logiciel immédiatement et, si cela n’est pas possible, à appliquer des mesures d’atténuation, notamment sauvegarde des instances non corrigées et bloquer l’accès Internet aux serveurs non corrigés jusqu’à ce qu’ils soient mis à jour.

Si vous ne pouvez pas corriger immédiatement vos instances Confluence, vous pouvez également supprimer les vecteurs d’attaque connus en bloquant l’accès aux points de terminaison suivants en modifiant le paramètre //confluence/WEB-INF/web.xml comme expliqué dans l’avis et en redémarrant l’instance vulnérable :

1. /json/setup-restore.action
2. /json/setup-restore-local.action
3. /json/setup-restore-progress.action

« Ces actions d’atténuation sont limitées et ne remplacent pas l’application de correctifs à votre instance ; vous devez appliquer les correctifs dès que possible », a prévenu Atlassian.

Le mois dernier, la CISA, le FBI et MS-ISAC ont averti les défenseurs de corriger de toute urgence les serveurs Atlassian Confluence contre une faille d’élévation de privilèges activement exploitée et identifiée comme CVE-2023-22515.

Microsoft a découvert plus tard qu’un groupe de menaces soutenu par la Chine et suivi sous le nom de Storm-0062 (alias DarkShadow ou Oro0lxy) avait exploité la faille en tant que jour zéro depuis le 14 septembre 2023.

La sécurisation des serveurs Confluence vulnérables est cruciale, compte tenu de leur ciblage antérieur dans des attaques généralisées qui ont poussé les ransomwares AvosLocker et Cerber2021, les malwares de botnet Linux et les mineurs de crypto.