Atlassian a publié des correctifs pour contenir une faille zero-day critique activement exploitée ayant un impact sur les instances Confluence Data Center et Server accessibles au public.
La vulnérabilité, suivie comme CVE-2023-22515est exploitable à distance et permet à des attaquants externes de créer des comptes d’administrateur Confluence non autorisés et d’accéder aux serveurs Confluence.
Cela n’impacte pas les versions Confluence antérieures à 8.0.0. Les sites Confluence accessibles via un domaine atlassian.net ne sont pas non plus vulnérables à ce problème.
Le fournisseur de services logiciels d’entreprise dit elle a été sensibilisée au problème par « une poignée de clients ». Ce problème a été résolu dans les versions suivantes de Confluence Data Center et Server :
- 8.3.3 ou version ultérieure
- 8.4.3 ou version ultérieure, et
- 8.5.2 (version de support à long terme) ou version ultérieure
La société n’a cependant pas divulgué d’autres détails sur la nature et l’ampleur de l’exploitation, ni sur la cause profonde de la vulnérabilité.
Il est conseillé aux clients qui ne sont pas en mesure d’appliquer les mises à jour de restreindre l’accès au réseau externe aux instances concernées.
« De plus, vous pouvez atténuer les vecteurs d’attaque connus pour cette vulnérabilité en bloquant l’accès aux points de terminaison /setup/* sur les instances Confluence », a déclaré Atlassian. « Cela est possible au niveau de la couche réseau ou en apportant les modifications suivantes aux fichiers de configuration Confluence. »
L’entreprise a également fourni les indicateurs de compromission (IoC) suivants pour déterminer si une instance sur site a été potentiellement violée :
- membres inattendus du groupe confluence-administrator
- comptes d’utilisateurs nouvellement créés inattendus
- requêtes à /setup/*.action dans les journaux d’accès au réseau
- présence de /setup/setupadministrator.action dans un message d’exception dans atlassian-confluence-security.log dans le répertoire d’accueil de Confluence
« S’il est déterminé que votre instance Confluence Server/DC a été compromise, notre conseil est d’arrêter immédiatement et de déconnecter le serveur du réseau/Internet », a déclaré Atlassian.
« En outre, vous souhaiterez peut-être arrêter immédiatement tout autre système partageant potentiellement une base d’utilisateurs ou ayant des combinaisons nom d’utilisateur/mot de passe communes avec le système compromis. »
« Il est inhabituel, mais pas sans précédent, qu’une vulnérabilité d’élévation de privilèges porte un indice de gravité critique », Caitlin Condon de Rapid7. ditajoutant que la faille est « généralement plus cohérente avec un contournement d’authentification ou une chaîne d’exécution de code à distance qu’avec un problème d’élévation de privilèges en soi ».
Les failles des instances Atlassian Confluence étant largement exploitées par les acteurs malveillants dans le passé, il est recommandé aux clients de mettre à jour immédiatement vers une version corrigée ou de mettre en œuvre les mesures d’atténuation appropriées.