Atlassian Confluence : cette faille zero-day permet la mise en place d’un web shell

Une nouvelle faille zero-day dans la solution Confluence d'Atlassian est activement exploitée par les pirates informatiques. Identifiée par la référence CVE-2022-26134, elle permet la mise en place d'un web shell et il n'existe pas de correctif à l'heure actuelle.

Atlassian a mis en ligne un nouveau bulletin de sécurité pour avertir ses utilisateurs sur la présence d'une nouvelle faille de sécurité dans son produit Confluence : la CVE-2022-26134. Cette vulnérabilité critique permet à une exécution de code à distance sur un serveur Confluence, sans être authentifiée. C'est la société Volexity qui est à l'origine de la découverte de cette faille de sécurité après avoir mené des investigations dans le cadre de la réponse à un incident de sécurité. Ainsi, grâce à cette vulnérabilité, les attaquants ont pu mettre en place un web shell JSP nommé BEHINDER sur le serveur compromis. En exploitant ce web shell, les attaquants peuvent exécuter des commandes à distance sur le serveur compromis.

Toutes les versions supportées de Confluence Server et Confluence Data Center sont affectées, et il n'existe pas de correctif pour le moment. Pour les personnes qui utilisent Confluence via un domaine atlassian.net, rassurez-vous : vous n'êtes pas vulnérable. Volexity a informé Atlassian de la présence de cette faille de sécurité le 31 mai dernier, et de son côté, Atlassian affirme que le correctif devrait être mis en ligne aujourd'hui, vendredi 3 juin 2022.

En attendant, Atlassian affirme qu'il existe deux solutions pour se protéger et elles sont pour le moins radicales :

  • Empêcher l'accès depuis Internet à l'instance Confluence Server ou Confluence Data Center
  • Désactiver votre instance Confluence Server ou Confluence Data Center
  • Alternative : utiliser un Web Application Firewall pour bloquer les URLs qui contiennent "${" afin de réduire le risque de compromission

Il s'agit d'une mesure de protection temporaire, en attendant que le correctif soit disponible et que vous puissiez l'installer pour patcher votre instance.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3872 posts and counting.See all posts by florian

One thought on “Atlassian Confluence : cette faille zero-day permet la mise en place d’un web shell

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.