Atlassian Confluence Data Center et Confluence Server sont vulnérables à une vulnérabilité critique d’exécution de code à distance (RCE) qui affecte les versions publiées avant le 5 décembre 2023, y compris les versions non prises en charge.
La faille est suivie comme CVE-2023-22527, classée critique (CVSS v3: 10.0), et est une vulnérabilité d’injection de modèle permettant aux attaquants non authentifiés d’exécuter du code à distance sur les points de terminaison Confluence affectés.
« Les versions les plus récentes prises en charge de Confluence Data Center et Server ne sont pas affectées par cette vulnérabilité car elle a finalement été atténuée lors des mises à jour régulières », lit-on dans le bulletin de sécurité d’Atlassian.
« Cependant, Atlassian recommande aux clients de veiller à installer la dernière version pour protéger leurs instances des vulnérabilités non critiques décrites dans le Bulletin de sécurité de janvier d’Atlassian. »
Le bogue RCE affecte les versions 8.0 du centre de données et du serveur Confluence.x, 8.1.x, 8,2.x, 8,3.x, 8,4.x, et 8.5.0 à 8.5.3.
Atlassian a corrigé la faille dans les versions 8.5.4 (LTS), 8.6.0 (Centre de données uniquement) et 8.7.1 (Centre de données uniquement) de Confluence Data Center et Server, publiées en décembre. Cependant, on ne sait pas s’ils ont discrètement corrigé le bogue le mois dernier ou s’il a été corrigé par inadvertance lors de leur développement logiciel régulier.
Ces versions ont été publiées plus tôt et ne sont plus les dernières, de sorte que les administrateurs qui sont passés à une version plus récente sont à l’abri de l’exploitation CVE-2023-22527.
Atlassian note que la version 8.4.5 et toutes les branches de version précédentes qui ne sont déjà plus prises en charge ne recevront pas de mise à jour de sécurité en vertu de sa politique de correction des bogues de sécurité.
Il est recommandé aux utilisateurs de ces versions de passer à une version activement prise en charge dès que possible.
Atlassian n’a fourni aucune atténuation ou solution de contournement pour le problème de sécurité mis en évidence, il est donc recommandé d’appliquer les mises à jour disponibles.
Une page FAQ mise en place par Atlassian pour la faille explique que CVE-2023-22527 n’a pas d’impact sur Confluence LTS v7.19.x, Instances Cloud hébergées par le fournisseur ou tout autre produit Atlassian.
Cependant, il est à noter que les instances non connectées à Internet et celles qui ne permettent pas un accès anonyme sont toujours exploitables, même si le risque est réduit.
Pour ceux qui ne peuvent pas appliquer immédiatement les mises à jour disponibles, il est recommandé de mettre les systèmes affectés hors ligne, de sauvegarder les données vers un emplacement en dehors de l’instance Confluence et de surveiller les activités malveillantes.
Les bogues Atlassian Confluence sont souvent exploités par des attaquants dans la nature, y compris des groupes de menaces parrainés par l’État et des groupes de ransomwares opportunistes.
Dans le cas de CVE-2023-22527, Atlassian ne peut partager aucun indicateur significatif de compromission (IOC) pour aider à détecter l’exploitation.
Les multiples points d’entrée possibles et la possibilité d’utiliser la faille dans des attaques en chaîne élargissent trop sa portée pour pouvoir identifier des signes d’exploitation définitifs.