Encore un caillou dans la chaussure d’Atlassian. L’éditeur logiciel a publié le 2 juin un avis de sécurité alertant ses clients quant à l’existence d’une vulnérabilité « critique ». Référencée CVE-2022-26134, celle-ci affecte Confluence, l’espace de travail en équipe édité par ses soins.
Les éditions sur site (mode auto-géré) sont concernées par cette faille zero day.
La vulnérabilité d’injection OGNL (Object Graph Navigation Language) permet à un utilisateur non authentifié d’exécuter du code arbitraire sur une instance Confluence Server ou Data Center. Les versions aussi anciennes que la 1.0.3 sont vulnérables.
Or, les brèches ne sont pas toutes colmatées, à ce jour.
La vulnérabilité est encore exploitée par des attaquants qui utilisent différentes portes dérobées (webshells), semble-t-il. Depuis la publication de correctifs le 3 juin 2022, plus de 850 adresses IP uniques ont ainsi tenté d’exploiter la vulnérabilité, selon une analyse de chercheurs de GreyNoise, dont Cybersecurity Dive s’est fait l’écho.
Les organisations qui ne peuvent pas appliquer les correctifs immédiatement ont intérêt à appliquer des mesures de contournement qui nécessitent le téléchargement d’un ou de plusieurs fichiers en fonction des versions concernées, explique sur sa page dédiée Atlassian.
L’éditeur australien de logiciels recommande aux utilisateurs de migrer vers la plus récente version de support à long terme (LTS) de Confluence.
En France, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) délivre lui aussi ses recommadations. « Point de contact international pour tout incident de nature cyber touchant la France », il préconise « de privilégier la déconnexion du service d’Internet tant que les correctifs ne sont pas appliqués et qu’un contrôle pour détecter une éventuelle compromission n’a pas été réalisé. »
Confluence est une solution d’espace de travail utilisée par plus de 75 000 clients. Ils y accèdent en mode cloud (qui n’est pas affecté par la faille) ou on-premise en mode auto-géré.
(crédit photo © Shutterstock)
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…