{"id":1115179,"date":"2024-01-23T22:44:26","date_gmt":"2024-01-24T00:44:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/40-000-attaques-en-3-jours-rce-de-confluence-critique-sous-exploitation-active\/"},"modified":"2024-01-23T22:44:32","modified_gmt":"2024-01-24T00:44:32","slug":"40-000-attaques-en-3-jours-rce-de-confluence-critique-sous-exploitation-active","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/40-000-attaques-en-3-jours-rce-de-confluence-critique-sous-exploitation-active\/","title":{"rendered":"~ 40 000 attaques en 3 jours\u00a0: RCE de Confluence critique sous exploitation active"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 janvier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Vuln\u00e9rabilit\u00e9 \/ Cyberattaque<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Des acteurs malveillants ont commenc\u00e9 \u00e0 exploiter activement une faille de s\u00e9curit\u00e9 critique r\u00e9cemment r\u00e9v\u00e9l\u00e9e affectant Atlassian Confluence Data Center et Confluence Server, dans les trois jours suivant sa divulgation publique.<\/p>\n

Suivi comme CVE-2023-22527<\/strong> (score CVSS : 10,0), la vuln\u00e9rabilit\u00e9 affecte les versions obsol\u00e8tes du logiciel, permettant \u00e0 des attaquants non authentifi\u00e9s d’ex\u00e9cuter du code \u00e0 distance sur des installations sensibles.<\/p>\n

La faille affecte les versions Confluence Data Center et Server 8 sorties avant le 5 d\u00e9cembre 2023, ainsi que la 8.4.5.<\/p>\n

Mais quelques jours seulement apr\u00e8s que la faille soit devenue publique, pr\u00e8s de 40 000 tentatives d’exploitation ciblant CVE-2023-22527 ont \u00e9t\u00e9 enregistr\u00e9es d\u00e8s le 19 janvier \u00e0 partir de plus de 600 adresses IP uniques, selon les deux sources. la Fondation Shadowserver<\/a> et le rapport DFIR<\/a>.<\/p>\n

L’activit\u00e9 est actuellement limit\u00e9e \u00e0 “tester les tentatives de rappel et l’ex\u00e9cution de ‘whoami'”, ce qui sugg\u00e8re que les acteurs malveillants recherchent de mani\u00e8re opportuniste des serveurs vuln\u00e9rables en vue d’une exploitation ult\u00e9rieure. <\/p>\n

La majorit\u00e9 des adresses IP des attaquants proviennent de Russie (22\u00a0674), suivie de Singapour, de Hong Kong, des \u00c9tats-Unis, de Chine, d\u2019Inde, du Br\u00e9sil, de Taiwan, du Japon et de l\u2019\u00c9quateur.<\/p>\n

\"La<\/a><\/center><\/div>\n

Sur 11 000 instances Atlassian<\/a> ont \u00e9t\u00e9 trouv\u00e9s accessibles sur Internet depuis le 21 janvier 2024, bien que l’on ne sache pas actuellement combien d’entre eux sont vuln\u00e9rables au CVE-2023-22527.<\/p>\n

“CVE-2023-22527 est une vuln\u00e9rabilit\u00e9 critique au sein du serveur Confluence et du centre de donn\u00e9es d’Atlassian”, ont d\u00e9clar\u00e9 Rahul Maini et Harsh Jaiswal, chercheurs de ProjectDiscovery. dit<\/a> dans une analyse technique de la faille.<\/p>\n

“Cette vuln\u00e9rabilit\u00e9 a le potentiel de permettre \u00e0 des attaquants non authentifi\u00e9s d’injecter des expressions OGNL dans l’instance Confluence, permettant ainsi l’ex\u00e9cution de code et de commandes syst\u00e8me arbitraires.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n