Atlassian émet un avertissement sur l'exploitation de la vulnérabilité de Confluence
Atlassian a publié un avertissement concernant une vulnérabilité de Confluence qui pourrait exposer votre système à des attaques de destruction de données. Cette vulnérabilité, identifiée comme CVE-2023-22518, est un problème de contournement d'authentification avec une note de gravité de 9.1/10. Plus tard, elle a été augmentée à 10, la note critique la plus élevée, en raison de la modification de la portée de l'attaque. Il affecte toutes les versions des logiciels Confluence Data Center et Confluence Server.
La société a récemment découvert un exploit accessible au public qui augmente considérablement le risque pour les instances exposées à l'internet. Bien qu'aucun cas d'exploitation active n'ait été signalé, Atlassian conseille vivement de prendre des mesures immédiates pour protéger vos instances Confluence.
Si vous avez déjà appliqué le correctif fourni par Atlassian dans les versions 7.19.16, 8.3.4, 8.4.4, 8.5.3 et 8.6.1, vous n'avez rien à craindre. Si ce n'est pas le cas, il est crucial de prendre des mesures rapides.
Il est également important de noter que les sites Atlassian Cloud accessibles via un domaine atlassian.net ne sont pas affectés.
Atténuer la vulnérabilité de Confluence
Bala Sathiamurthy, responsable de la sécurité de l'information chez Atlassian, souligne le risque de pertes de données importantes si un attaquant non authentifié exploite la vulnérabilité. Bien que le risque principal soit la destruction de données, il est rassurant de constater que la faille ne permet pas le vol de données.
Pour réduire le risque, Atlassian recommande de mettre à jour immédiatement votre logiciel Confluence. Si une mise à jour immédiate n'est pas possible, appliquez des mesures d'atténuation telles que la sauvegarde des instances non corrigées et le blocage de l'accès Internet aux serveurs non corrigés jusqu'à ce que les mises à jour soient installées.
For those unable to patch their Confluence instances immediately, Atlassian suggests removing known attack vectors by blocking access to specific endpoints. This can be achieved by modifying the /<confluence-install-dir>/confluence/WEB-INF/web.xml file, as outlined in the advisory. Then, it is required to restart the confluence.
Il est essentiel de comprendre que ces mesures d'atténuation sont temporaires et ne remplacent pas les correctifs. Atlassian insiste sur l'urgence d'appliquer le correctif dès que possible.
Conclusion
Cet avertissement fait suite à un avis similaire émis le mois dernier, dans lequel la CISA, le FBI et le MS-ISAC recommandaient vivement de corriger rapidement les serveurs Confluence d'Atlassian en raison d'une vulnérabilité d'escalade des privilèges activement exploitée (CVE-2023-22515). Étant donné que les serveurs Confluence ont déjà été la cible d'attaques généralisées conduisant à des ransomwares, des logiciels malveillants et du minage de crypto-monnaie, il est primordial de sécuriser votre instance Confluence. Restez vigilant, appliquez les correctifs et prenez les précautions nécessaires pour protéger vos données et vos systèmes.
Les sources de cet article comprennent un article de BleepingComputer.