Atlassian Confluence : cette faille zero-day permet la mise en place d’un web shell
Une nouvelle faille zero-day dans la solution Confluence d'Atlassian est activement exploitée par les pirates informatiques. Identifiée par la référence CVE-2022-26134, elle permet la mise en place d'un web shell et il n'existe pas de correctif à l'heure actuelle.
Atlassian a mis en ligne un nouveau bulletin de sécurité pour avertir ses utilisateurs sur la présence d'une nouvelle faille de sécurité dans son produit Confluence : la CVE-2022-26134. Cette vulnérabilité critique permet à une exécution de code à distance sur un serveur Confluence, sans être authentifiée. C'est la société Volexity qui est à l'origine de la découverte de cette faille de sécurité après avoir mené des investigations dans le cadre de la réponse à un incident de sécurité. Ainsi, grâce à cette vulnérabilité, les attaquants ont pu mettre en place un web shell JSP nommé BEHINDER sur le serveur compromis. En exploitant ce web shell, les attaquants peuvent exécuter des commandes à distance sur le serveur compromis.
Toutes les versions supportées de Confluence Server et Confluence Data Center sont affectées, et il n'existe pas de correctif pour le moment. Pour les personnes qui utilisent Confluence via un domaine atlassian.net, rassurez-vous : vous n'êtes pas vulnérable. Volexity a informé Atlassian de la présence de cette faille de sécurité le 31 mai dernier, et de son côté, Atlassian affirme que le correctif devrait être mis en ligne aujourd'hui, vendredi 3 juin 2022.
En attendant, Atlassian affirme qu'il existe deux solutions pour se protéger et elles sont pour le moins radicales :
- Empêcher l'accès depuis Internet à l'instance Confluence Server ou Confluence Data Center
- Désactiver votre instance Confluence Server ou Confluence Data Center
- Alternative : utiliser un Web Application Firewall pour bloquer les URLs qui contiennent "${" afin de réduire le risque de compromission
Il s'agit d'une mesure de protection temporaire, en attendant que le correctif soit disponible et que vous puissiez l'installer pour patcher votre instance.
Le fix et les versions corrigées sont disponibles, voir https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html