{"id":180389,"date":"2022-06-03T06:31:17","date_gmt":"2022-06-03T08:31:17","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-exploitent-la-vulnerabilite-critique-non-corrigee-atlassian-confluence-zero-day\/"},"modified":"2022-06-03T06:31:18","modified_gmt":"2022-06-03T08:31:18","slug":"des-pirates-informatiques-exploitent-la-vulnerabilite-critique-non-corrigee-atlassian-confluence-zero-day","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-exploitent-la-vulnerabilite-critique-non-corrigee-atlassian-confluence-zero-day\/","title":{"rendered":"Des pirates informatiques exploitent la vuln\u00e9rabilit\u00e9 critique non corrig\u00e9e Atlassian Confluence Zero-Day"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Atlassian a mis en garde contre une vuln\u00e9rabilit\u00e9 critique d&#8217;ex\u00e9cution de code \u00e0 distance non corrig\u00e9e affectant les produits Confluence Server et Data Center qui, selon lui, sont activement exploit\u00e9s dans la nature.<\/p>\n<p>La soci\u00e9t\u00e9 de logiciels australienne a cr\u00e9dit\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Volexity pour avoir identifi\u00e9 la faille, qui est suivie comme <strong>CVE-2022-26134<\/strong>.<\/p>\n<p>&#8220;Atlassian a \u00e9t\u00e9 inform\u00e9 de l&#8217;exploitation active actuelle d&#8217;une vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance non authentifi\u00e9e de gravit\u00e9 critique dans le centre de donn\u00e9es et le serveur Confluence&#8221;, a-t-il d\u00e9clar\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/confluence.atlassian.com\/doc\/confluence-security-advisory-2022-06-02-1130377146.html\" target=\"_blank\">a dit<\/a> dans un avis.<\/p>\n<p>&#8220;Il n&#8217;y a actuellement aucune version fixe de Confluence Server et Data Center disponible. Atlassian travaille avec la plus haute priorit\u00e9 pour publier un correctif.&#8221;  Les d\u00e9tails de la faille de s\u00e9curit\u00e9 ont \u00e9t\u00e9 retenus jusqu&#8217;\u00e0 ce qu&#8217;un correctif logiciel soit disponible.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/soc2-gitprotect\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Le-package-PyPI-populaire-ctx-et-la-bibliotheque-PHP-phpass.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Toutes les versions prises en charge de Confluence Server et Data Center sont affect\u00e9es, bien qu&#8217;il soit pr\u00e9vu que toutes les versions de la solution d&#8217;entreprise soient potentiellement vuln\u00e9rables.  La premi\u00e8re version impact\u00e9e reste \u00e0 d\u00e9terminer.<\/p>\n<p>En l&#8217;absence de correctif, Atlassian exhorte les clients \u00e0 restreindre les instances Confluence Server et Data Center \u00e0 partir d&#8217;Internet ou \u00e0 envisager de d\u00e9sactiver compl\u00e8tement les instances Confluence Server et Data Center.<\/p>\n<p>Volexity, dans une divulgation ind\u00e9pendante, a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 l&#8217;activit\u00e9 au cours du week-end du Memorial Day aux \u00c9tats-Unis dans le cadre d&#8217;une enqu\u00eate sur la r\u00e9ponse \u00e0 l&#8217;incident.<\/p>\n<p>La cha\u00eene d&#8217;attaque impliquait de tirer parti de l&#8217;exploit Atlassian zero-day &#8211; une vuln\u00e9rabilit\u00e9 d&#8217;injection de commande &#8211; pour r\u00e9aliser une ex\u00e9cution de code \u00e0 distance non authentifi\u00e9e sur le serveur, permettant \u00e0 l&#8217;auteur de la menace d&#8217;utiliser le pied pour supprimer le shell Web Behinder.<\/p>\n<p>&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Freakboy\/Behinder\" target=\"_blank\">Derri\u00e8re<\/a> fournit des capacit\u00e9s tr\u00e8s puissantes aux attaquants, notamment des webshells \u00e0 m\u00e9moire uniquement et une prise en charge int\u00e9gr\u00e9e de l&#8217;interaction avec Meterpreter et Cobalt Strike \u00bb, ont d\u00e9clar\u00e9 les chercheurs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.volexity.com\/blog\/2022\/06\/02\/zero-day-exploitation-of-atlassian-confluence\/\" target=\"_blank\">a dit<\/a>.  &#8220;En m\u00eame temps, il ne permet pas la persistance, ce qui signifie qu&#8217;un red\u00e9marrage ou un red\u00e9marrage du service l&#8217;effacera.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Par la suite, le shell Web aurait \u00e9t\u00e9 utilis\u00e9 comme conduit pour d\u00e9ployer deux shells Web suppl\u00e9mentaires sur le disque, y compris <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/the-little-malware-that-could-detecting-and-defeating-the-china-chopper-web-shell\" target=\"_blank\">Hachoir de Chine<\/a> et un shell de t\u00e9l\u00e9chargement de fichiers personnalis\u00e9 pour exfiltrer des fichiers arbitraires vers un serveur distant.<\/p>\n<p>Le d\u00e9veloppement intervient moins d&#8217;un an apr\u00e8s qu&#8217;une autre faille critique d&#8217;ex\u00e9cution de code \u00e0 distance dans Atlassian Confluence (CVE-2021-26084, score CVSS\u00a0: 9,8) a \u00e9t\u00e9 activement militaris\u00e9e dans la nature pour installer des mineurs de crypto-monnaie sur des serveurs compromis.<\/p>\n<p>&#8220;En exploitant ce type de vuln\u00e9rabilit\u00e9, les attaquants peuvent acc\u00e9der directement \u00e0 des syst\u00e8mes et r\u00e9seaux hautement sensibles&#8221;, a d\u00e9clar\u00e9 Volexity.  &#8220;De plus, ces syst\u00e8mes peuvent souvent \u00eatre difficiles \u00e0 \u00e9tudier, car ils ne disposent pas des capacit\u00e9s de surveillance ou de journalisation appropri\u00e9es.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/hackers-exploiting-unpatched-critical.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Atlassian a mis en garde contre une vuln\u00e9rabilit\u00e9 critique d&#8217;ex\u00e9cution de code \u00e0 distance non corrig\u00e9e affectant les produits Confluence Server et Data Center qui, selon lui, sont activement exploit\u00e9s dans la nature. La soci\u00e9t\u00e9 de logiciels australienne a cr\u00e9dit\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Volexity pour avoir identifi\u00e9 la faille, qui est suivie comme CVE-2022-26134. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":180390,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[54518,4168,35371,59777,22,4158,4165,4161,133,8736,8154,4157,4159,4171,4170,4167,4160,4163,4162,4394,4172,4169,4166,3667,4164,35759],"class_list":["post-180389","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-atlassian","tag-comment-pirater","tag-confluence","tag-corrigee","tag-critique","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-exploitent","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/180389","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=180389"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/180389\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/180390"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=180389"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=180389"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=180389"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}