La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté vendredi la faille de sécurité Atlassian récemment révélée à son catalogue de vulnérabilités exploitées connues, sur la base de preuves d’exploitation active. La vulnérabilité, identifiée comme CVE-2022-26138, concerne l’utilisation d’informations d’identification codées en dur lorsque l’application Questions For Confluence est activée dans les instances Confluence Server et Data Center. « Un attaquant distant non authentifié peut utiliser ces informations d’identification pour se connecter à Confluence et accéder à tout le contenu accessible aux utilisateurs du groupe confluence-users », note CISA dans son avis.

En fonction des restrictions de page et des informations dont dispose une entreprise dans Confluence, l’exploitation réussie de la lacune pourrait conduire à la divulgation d’informations sensibles. Bien que le bogue ait été corrigé par la société de logiciels Atlassian la semaine dernière dans les versions 2.7.38 et 3.0.5, il a depuis fait l’objet d’une exploitation active, a révélé cette semaine la société de cybersécurité Rapid7. « Les efforts d’exploitation à ce stade ne semblent pas très répandus, bien que nous nous attendions à ce que cela change », a déclaré Erick Galinkin, chercheur principal en intelligence artificielle chez Rapid7, à breachtrace. « La bonne nouvelle est que la vulnérabilité se trouve dans l’application Questions for Confluence et non dans Confluence elle-même, ce qui réduit considérablement la surface d’attaque. » Avec la faille maintenant ajoutée au catalogue, la Federal Civilian Executive Branch (FCEB) aux États-Unis est mandatée pour appliquer des correctifs d’ici le 19 août 2022, afin de réduire leur exposition aux cyberattaques. « À ce stade, la vulnérabilité est publique depuis relativement peu de temps », a noté Galinkin. « En plus de l’absence d’activité post-exploitation significative, nous n’avons pas encore d’acteurs menaçants attribués aux attaques. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *