Atlassian a mis en garde contre une vulnérabilité critique d’exécution de code à distance non corrigée affectant les produits Confluence Server et Data Center qui, selon lui, sont activement exploités dans la nature.
La société de logiciels australienne a crédité la société de cybersécurité Volexity pour avoir identifié la faille, qui est suivie comme CVE-2022-26134.
« Atlassian a été informé de l’exploitation active actuelle d’une vulnérabilité d’exécution de code à distance non authentifiée de gravité critique dans le centre de données et le serveur Confluence », a-t-il déclaré. a dit dans un avis.
« Il n’y a actuellement aucune version fixe de Confluence Server et Data Center disponible. Atlassian travaille avec la plus haute priorité pour publier un correctif. » Les détails de la faille de sécurité ont été retenus jusqu’à ce qu’un correctif logiciel soit disponible.
La version 7.18.0 de Confluence Server est connue pour avoir été exploitée dans la nature, bien que les versions 7.4.0 et ultérieures de Confluence Server et Data Center soient potentiellement vulnérables.
En l’absence de correctif, Atlassian exhorte les clients à restreindre les instances Confluence Server et Data Center à partir d’Internet ou à envisager de désactiver complètement les instances Confluence Server et Data Center.
Volexity, dans une divulgation indépendante, a déclaré avoir détecté l’activité au cours du week-end du Memorial Day aux États-Unis dans le cadre d’une enquête sur la réponse à l’incident.
La chaîne d’attaque impliquait de tirer parti de l’exploit Atlassian zero-day – une vulnérabilité d’injection de commande – pour réaliser une exécution de code à distance non authentifiée sur le serveur, permettant à l’auteur de la menace d’utiliser le pied pour supprimer le shell Web Behinder.
« Derrière fournit des capacités très puissantes aux attaquants, notamment des webshells à mémoire uniquement et une prise en charge intégrée de l’interaction avec Meterpreter et Cobalt Strike », ont déclaré les chercheurs. a dit. « En même temps, il ne permet pas la persistance, ce qui signifie qu’un redémarrage ou un redémarrage du service l’effacera. »
Par la suite, le shell Web aurait été utilisé comme conduit pour déployer deux shells Web supplémentaires sur le disque, y compris Hachoir de Chine et un shell de téléchargement de fichiers personnalisé pour exfiltrer des fichiers arbitraires vers un serveur distant.
Le développement intervient moins d’un an après qu’une autre faille critique d’exécution de code à distance dans Atlassian Confluence (CVE-2021-26084, score CVSS : 9,8) a été activement militarisée l’année dernière pour installer des mineurs de crypto-monnaie sur des serveurs compromis.
« En exploitant ce type de vulnérabilité, les attaquants peuvent accéder directement à des systèmes et réseaux hautement sensibles », a déclaré Volexity. « De plus, ces systèmes peuvent souvent être difficiles à étudier, car ils ne disposent pas des capacités de surveillance ou de journalisation appropriées. »