{"id":1010544,"date":"2023-11-10T10:40:39","date_gmt":"2023-11-10T12:40:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/alerte-la-porte-derobee-effluence-persiste-malgre-la-mise-a-jour-des-serveurs-atlassian-confluence\/"},"modified":"2023-11-10T10:40:44","modified_gmt":"2023-11-10T12:40:44","slug":"alerte-la-porte-derobee-effluence-persiste-malgre-la-mise-a-jour-des-serveurs-atlassian-confluence","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/alerte-la-porte-derobee-effluence-persiste-malgre-la-mise-a-jour-des-serveurs-atlassian-confluence\/","title":{"rendered":"Alerte\u00a0: la porte d\u00e9rob\u00e9e \u00ab\u00a0Effluence\u00a0\u00bb persiste malgr\u00e9 la mise \u00e0 jour des serveurs Atlassian Confluence"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 novembre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyberattaque\/intelligence sur les menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Alerte-la-porte-derobee-Effluence-persiste-malgre-la-mise-a.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une porte d\u00e9rob\u00e9e furtive nomm\u00e9e <strong>Effluence<\/strong> qui est d\u00e9ploy\u00e9 suite \u00e0 l&#8217;exploitation r\u00e9ussie d&#8217;une faille de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans Atlassian Confluence Data Center and Server.<\/p>\n<p>&#8220;Le malware agit comme une porte d\u00e9rob\u00e9e persistante et n&#8217;est pas corrig\u00e9 en appliquant des correctifs \u00e0 Confluence&#8221;, explique Stroz Friedberg Incident Response Services d&#8217;Aon. <a rel=\"nofollow noopener\" href=\"https:\/\/www.aon.com\/cyber-solutions\/aon_cyber_labs\/detecting-effluence-an-unauthenticated-confluence-web-shell\/\" target=\"_blank\">dit<\/a> dans une analyse publi\u00e9e plus t\u00f4t cette semaine.<\/p>\n<p>\u00ab La porte d\u00e9rob\u00e9e offre la possibilit\u00e9 de se d\u00e9placer lat\u00e9ralement vers d&#8217;autres ressources du r\u00e9seau en plus de l&#8217;exfiltration des donn\u00e9es de Confluence. Il est important de noter que les attaquants peuvent acc\u00e9der \u00e0 la porte d\u00e9rob\u00e9e \u00e0 distance sans s&#8217;authentifier aupr\u00e8s de Confluence.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/4WnFxcNN\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Les-experts-mettent-en-garde-contre-les-pirates-de-ransomware.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La cha\u00eene d&#8217;attaque document\u00e9e par l&#8217;entit\u00e9 de cybers\u00e9curit\u00e9 impliquait l&#8217;exploitation de CVE-2023-22515 (score CVSS : 10,0), un bug critique d&#8217;Atlassian qui pourrait \u00eatre exploit\u00e9 pour cr\u00e9er des comptes d&#8217;administrateur Confluence non autoris\u00e9s et acc\u00e9der aux serveurs Confluence.<\/p>\n<p>Atlassian a depuis divulgu\u00e9 une deuxi\u00e8me faille connue sous le nom de CVE-2023-22518 (score CVSS : 10,0) dont un attaquant peut \u00e9galement profiter pour cr\u00e9er un compte administrateur malveillant, entra\u00eenant une perte totale de confidentialit\u00e9, d&#8217;int\u00e9grit\u00e9 et de disponibilit\u00e9.<\/p>\n<p>Ce qui distingue la derni\u00e8re attaque, c&#8217;est que l&#8217;adversaire a obtenu un acc\u00e8s initial via CVE-2023-22515 et a int\u00e9gr\u00e9 un nouveau shell Web qui accorde un acc\u00e8s \u00e0 distance persistant \u00e0 chaque page Web du serveur, y compris la page de connexion non authentifi\u00e9e, sans avoir besoin d&#8217;un compte utilisateur valide.<\/p>\n<p>Le shell Web, compos\u00e9 d&#8217;un chargeur et d&#8217;une charge utile, est passif, permettant aux requ\u00eates de le traverser inaper\u00e7u jusqu&#8217;\u00e0 ce qu&#8217;une requ\u00eate correspondant \u00e0 un param\u00e8tre sp\u00e9cifique soit fournie, auquel cas il d\u00e9clenche son comportement malveillant en ex\u00e9cutant une s\u00e9rie d&#8217;actions.<\/p>\n<p>Cela comprend la cr\u00e9ation d&#8217;un nouveau compte administrateur, la purge des journaux pour masquer la piste m\u00e9dico-l\u00e9gale, l&#8217;ex\u00e9cution de commandes arbitraires sur le serveur sous-jacent, l&#8217;\u00e9num\u00e9ration, la lecture et la suppression de fichiers, ainsi que la compilation d&#8217;informations d\u00e9taill\u00e9es sur l&#8217;environnement Atlassian.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Turla-met-a-jour-la-porte-derobee-Kazuar-avec-une.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le composant de chargement, selon Aon, agit comme un plugin Confluence normal et est responsable du d\u00e9chiffrement et du lancement de la charge utile.<\/p>\n<p>&#8220;Plusieurs fonctions du shell Web d\u00e9pendent d&#8217;API sp\u00e9cifiques \u00e0 Confluence&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Zachary Reichert.<\/p>\n<p>&#8220;Cependant, le plugin et le m\u00e9canisme de chargement semblent d\u00e9pendre uniquement des API Atlassian courantes et sont potentiellement applicables \u00e0 JIRA, Bitbucket ou \u00e0 d&#8217;autres produits Atlassian sur lesquels un attaquant peut installer le plugin.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/alert-effluence-backdoor-persists.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 novembre 2023\ue804R\u00e9dactionCyberattaque\/intelligence sur les menaces Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une porte d\u00e9rob\u00e9e furtive nomm\u00e9e Effluence qui est d\u00e9ploy\u00e9 suite \u00e0 l&#8217;exploitation r\u00e9ussie d&#8217;une faille de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans Atlassian Confluence Data Center and Server. &#8220;Le malware agit comme une porte d\u00e9rob\u00e9e persistante et n&#8217;est pas corrig\u00e9 en appliquant des correctifs \u00e0 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1010545,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4747,54518,4168,35371,4165,4161,200267,7084,133,214028,3995,4159,4171,200271,2492,2811,200268,200269,200270,64327,2742,128318,4172,4169,8541,4166,4164],"class_list":["post-1010544","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-alerte","tag-atlassian","tag-comment-pirater","tag-confluence","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-derobee","tag-des","tag-effluence","tag-jour","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-malgre","tag-mise","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-persiste","tag-porte","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1010544","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1010544"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1010544\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1010545"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1010544"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1010544"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1010544"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}