Atlassian a déployé vendredi des correctifs pour corriger une faille de sécurité critique affectant ses produits Confluence Server et Data Center qui ont été activement exploités par des acteurs malveillants pour obtenir l’exécution de code à distance. Suivi sous le nom de CVE-2022-26134, le problème est similaire à CVE-2021-26084 – une autre faille de sécurité que la société de logiciels australienne a corrigée en août 2021. Les deux concernent un cas d’injection d’Object-Graph Navigation Language (OGNL) qui pourrait être exploité pour obtenir l’exécution de code arbitraire sur une instance Confluence Server ou Data Center. La lacune récemment découverte affecte toutes les versions prises en charge de Confluence Server et Data Center, toutes les versions postérieures à la 1.3.0 étant également affectées. Il a été résolu dans les versions suivantes

– 7.4.17

7.13.7

7.14.3

7.15.2

7.16.4

7.17.4

7.18.1

Selon les statistiques de la plate-forme de découverte d’actifs Internet Censys, il existe environ 9 325 services sur 8 347 hôtes distincts exécutant une version vulnérable d’Atlassian Confluence, la plupart des instances étant situées aux États-Unis, en Chine, en Allemagne, en Russie et en France. Des preuves d’une exploitation active de la faille, probablement par des attaquants d’origine chinoise, ont été révélées après que la société de cybersécurité Volexity a découvert la faille au cours du week-end du Memorial Day aux États-Unis lors d’une enquête sur la réponse à un incident. « Les industries/verticales ciblées sont assez répandues », a déclaré Steven Adair, fondateur et président de Volexity, dans une série de tweets. « C’est une mêlée générale où l’exploitation semble coordonnée. » « Il est clair que plusieurs groupes de menaces et acteurs individuels ont l’exploit et l’ont utilisé de différentes manières. Certains sont assez bâclés et d’autres sont un peu plus furtifs. » La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, en plus d’ajouter le bogue du jour zéro à son catalogue de vulnérabilités exploitées connues, a également exhorté les agences fédérales à bloquer immédiatement tout le trafic Internet vers et depuis les produits concernés et à appliquer les correctifs ou supprimer le instances avant le 6 juin 2022, 17 h. ET.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *