Atlassian : Confluence digère mal une faille critique

Ariane Beky,

La vulnérabilité « critique » qui affecte Confluence, espace de travail édité par Atlassian, est encore activement exploitée. Malgré la publication de correctifs.

Encore un caillou dans la chaussure d’Atlassian. L’éditeur logiciel a publié le 2 juin un avis de sécurité alertant ses clients quant à l’existence d’une vulnérabilité « critique ». Référencée CVE-2022-26134, celle-ci affecte Confluence, l’espace de travail en équipe édité par ses soins.

Les éditions sur site (mode auto-géré) sont concernées par cette faille zero day.

La vulnérabilité d’injection OGNL (Object Graph Navigation Language) permet à un utilisateur non authentifié d’exécuter du code arbitraire sur une instance Confluence Server ou Data Center. Les versions aussi anciennes que la 1.0.3 sont vulnérables.

Or, les brèches ne sont pas toutes colmatées, à ce jour.

Face aux cyberacteurs maveillants

La vulnérabilité est encore exploitée par des attaquants qui utilisent différentes portes dérobées (webshells), semble-t-il. Depuis la publication de correctifs le 3 juin 2022, plus de 850 adresses IP uniques ont ainsi tenté d’exploiter la vulnérabilité, selon une analyse de chercheurs de GreyNoise, dont Cybersecurity Dive s’est fait l’écho.

Les organisations qui ne peuvent pas appliquer les correctifs immédiatement ont intérêt à appliquer des mesures de contournement qui nécessitent le téléchargement d’un ou de plusieurs fichiers en fonction des versions concernées, explique sur sa page dédiée Atlassian.

L’éditeur australien de logiciels recommande aux utilisateurs de migrer vers la plus récente version de support à long terme (LTS) de Confluence.

En France, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) délivre lui aussi ses recommadations. « Point de contact international pour tout incident de nature cyber touchant la France », il préconise « de privilégier la déconnexion du service d’Internet tant que les correctifs ne sont pas appliqués et qu’un contrôle pour détecter une éventuelle compromission n’a pas été réalisé. »

Confluence est une solution d’espace de travail utilisée par plus de 75 000 clients. Ils y accèdent en mode cloud (qui n’est pas affecté par la faille) ou on-premise en mode auto-géré.

(crédit photo © Shutterstock)