La société australienne de logiciels Atlassian a averti les administrateurs de corriger immédiatement les instances Confluence exposées sur Internet contre une faille de sécurité critique qui pourrait entraîner une perte de données après une exploitation réussie.

Décrit comme une vulnérabilité d’autorisation inappropriée affectant toutes les versions des logiciels Confluence Data Center et Confluence Server, le bug est suivi comme CVE-2023-22518 et expose les instances accessibles au public à un risque critique.

Bien que les acteurs malveillants puissent utiliser cette faille pour détruire les données sur les serveurs concernés, le bug n’a pas d’impact sur la confidentialité car il ne peut pas être exploité pour exfiltrer les données d’instance. Les sites Atlassian Cloud accessibles via un domaine atlassian.net ne sont pas non plus affectés par cette vulnérabilité.

« Dans le cadre de nos processus continus d’évaluation de la sécurité, nous avons découvert que les clients Confluence Data Center et Server sont vulnérables à une perte de données importante s’ils sont exploités par un attaquant non authentifié. » dit Bala Sathiamurthy, responsable de la sécurité des informations (RSSI) d’Atlassian.

« Aucun cas d’exploitation active n’a été signalé pour le moment ; cependant, les clients doivent prendre des mesures immédiates pour protéger leurs instances. »

La société a corrigé la vulnérabilité critique CVE-2023-22518 dans les versions 7.19.16, 8.3.4, 8.4.4, 8.5.3 et 8.6.1 de Confluence Data Center and Server.

Atlassian a averti les administrateurs de passer immédiatement à une version fixe et, si cela n’est pas possible, d’appliquer des mesures d’atténuation, notamment sauvegarde des instances non corrigées et bloquer l’accès à Internet jusqu’à leur mise à niveau.

« Les instances accessibles à l’Internet public, y compris celles avec authentification utilisateur, devraient être limitées à l’accès au réseau externe jusqu’à ce que vous puissiez appliquer le correctif », a déclaré la société.

Plus tôt ce mois-ci, CISA, FBI et MS-ISAC ont averti les administrateurs réseau de corriger immédiatement les serveurs Atlassian Confluence contre une faille d’élévation de privilèges activement exploitée et identifiée comme CVE-2023-22515.

« En raison de la facilité d’exploitation, la CISA, le FBI et le MS-ISAC s’attendent à une exploitation généralisée des instances Confluence non corrigées dans les réseaux gouvernementaux et privés », prévient l’avis conjoint.

Microsoft a révélé que le groupe de menace Storm-0062 (alias DarkShadow ou Oro0lxy), soutenu par la Chine, avait exploité la faille en tant que jour zéro depuis au moins le 14 septembre 2023.

Il est de la plus haute importance de corriger les serveurs Confluence vulnérables dès que possible, étant donné qu’ils étaient auparavant la cible d’attaques généralisées poussant des logiciels malveillants de type botnet Linux, des mineurs de crypto et des ransomwares AvosLocker et Cerber2021.