Atlassian a déployé vendredi des correctifs pour corriger une faille de sécurité critique affectant ses produits Confluence Server et Data Center qui ont été activement exploités par des acteurs malveillants pour obtenir l’exécution de code à distance.
Suivi comme CVE-2022-26134le problème est similaire à CVE-2021-26084 – une autre faille de sécurité que la société de logiciels australienne a corrigée en août 2021.
Les deux concernent un cas de langage de navigation objet-graphe (OGNL) qui pourraient être exploitées pour obtenir l’exécution de code arbitraire sur une instance Confluence Server ou Data Center.
La lacune récemment découverte affecte toutes les versions prises en charge de Confluence Server et Data Center, toutes les versions postérieures à la 1.3.0 étant également affectées. Il a été résolu dans les versions suivantes –
- 7.4.17
- 7.13.7
- 7.14.3
- 7.15.2
- 7.16.4
- 7.17.4
- 7.18.1
Selon les statistiques de la plate-forme de découverte d’actifs Internet Censysil existe environ 9 325 services sur 8 347 hôtes distincts exécutant une version vulnérable d’Atlassian Confluence, avec la plupart des cas situés aux États-Unis, en Chine, en Allemagne, en Russie et en France.
Des preuves d’une exploitation active de la faille, probablement par des attaquants d’origine chinoise, ont été révélées après que la société de cybersécurité Volexity a découvert la faille au cours du week-end du Memorial Day aux États-Unis lors d’une enquête sur la réponse à un incident.
« Les industries/verticales ciblées sont assez répandues », Steven Adair, fondateur et président de Volexity, a dit dans une série de tweets. « C’est une mêlée générale où l’exploitation semble coordonnée. »
« Il est clair que plusieurs groupes de menaces et acteurs individuels ont l’exploit et l’ont utilisé de différentes manières. Certains sont assez bâclés et d’autres sont un peu plus furtifs. »
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, outre ajouter le bogue du jour zéro à son Catalogue des vulnérabilités exploitées connuesa également exhorté les agences fédérales à bloquer immédiatement tout le trafic Internet vers et depuis les produits concernés et à appliquer les correctifs ou à supprimer les instances d’ici le 6 juin 2022, 17 h HE.