Les utilisateurs du logiciel de collaboration Confluence d’Atlassian ont été avisés de restreindre l’accès Internet au logiciel ou de le désactiver en raison d’une vulnérabilité critique. À minuit HAE le 2 juin, la société n’avait toujours pas de correctif pour le problème et n’a pas non plus donné de délai de résolution.
Un avis d’Atlassian daté du 2 juin avertit que cette « exploitation actuellement active » a été détectée.
La Cybersecurity & Infrastructure Agency (CISA) des États-Unis « recommande fortement aux organisations de consulter l’avis de sécurité Confluence 2022-06-02 pour plus d’informations ». La CISA exhorte les organisations utilisant les produits Confluence Server et Data Center d’Atlassian concernés à bloquer tout le trafic Internet vers et depuis ces systèmes jusqu’à ce qu’une mise à jour soit disponible et appliquée avec succès.
Le blocage de l’accès rendrait la collaboration impossible sans accès VPN depuis l’extérieur du pare-feu d’une entreprise. À une époque où le télétravail est si important, cela pourrait soit être un inconvénient majeur, soit potentiellement rendre le logiciel inutilisable par les télétravailleurs. Étant donné que le site Web d’Atlassian indique que Confluence compte plus de 60 000 utilisateurs dans le monde, cela pourrait avoir un impact important sur un grand nombre d’entreprises.
La société de sécurité Volexity a détecté la vulnérabilité et l’a signalée à Atlassian. Volexity a publié son analyse dans un blog sur son site internet.
Selon Volexity, « l’attaquant avait exploité une vulnérabilité zero-day (CVE-2022-26134), qui permettait l’exécution à distance de code non authentifié sur les serveurs ». L’analyse poursuit en avertissant que « ces types de vulnérabilités sont dangereux car les attaquants peuvent exécuter des commandes et prendre le contrôle total d’un système vulnérable sans informations d’identification tant que des requêtes Web peuvent être envoyées au serveur Confluence ».
L’attaquant a déployé une copie en mémoire de l’implant BEHINDER. Veloxity indique qu ‘« il s’agit d’un implant de serveur Web très populaire dont le code source est disponible sur GitHub ». BEHINDER permet aux attaquants d’utiliser des webshells uniquement en mémoire avec un support intégré pour l’interaction avec Meterpreter et Cobalt Strike.
La présence en mémoire de l’implant BEHINDER est particulièrement dangereuse car il permet à l’attaquant d’exécuter des instructions sans écrire de fichiers sur le disque. Comme il n’a pas de persistance, un redémarrage de l’appareil ou du service l’effacera. Cependant, jusqu’à ce que cela soit fait, l’attaquant a accès au serveur et peut exécuter des commandes sans écrire de fichier de porte dérobée sur le disque.
L’avis d’Atlassian indique que toutes les versions prises en charge de Confluence Server et Data Center sont concernées. L’avis répète le conseil de restreindre l’accès à Internet ou de désactiver le serveur Confluence.
Lire aussi :
La marque de rançongiciel Conti est morte, mais le groupe se restructure
Quatre des 15 principales vulnérabilités exploitées l’an dernier dataient de plus d’un an
Des attaques par rançongiciel plus ciblées en 2022
Traduction et adaptation française par Renaud Larue-Langlois
