Vulnérabilité dans Atlassian Confluence
RISQUE
- Exécution de code arbitraire à distance
SYSTÈMES AFFECTÉS
- Confluence Server et Data Server versions 1.3.0 à 7.4.x antérieures à 7.4.17
- Confluence Server et Data Center versions 7.13.x antérieures à 7.13.7
- Confluence Server et Data Center versions 7.14.x antérieures à 7.14.3
- Confluence Server et Data Center versions 7.15.x antérieures à 7.15.2
- Confluence Server et Data Center versions 7.16.x antérieures à 7.16.4
- Confluence Server et Data Center versions 7.17.x antérieures à 7.17.4
- Confluence Server et Data Center versions 7.18.x antérieures à 7.18.1
RÉSUMÉ
Une vulnérabilité a été découverte dans Atlassian Confluence. Elle permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Cette vulnérabilité est actuellement exploitée de façon active par des attaquants qui semblent déployer différentes portes dérobées (webshells) pour maintenir leur présence sur les serveurs compromis.
Cette alerte sera mise à jour régulièrement.
CONTOURNEMENT PROVISOIRE
Si l'application des correctifs ne peut être réalisée, et étant donné que des attaques sont en cours, le CERT-FR recommande fortement de bloquer sans délai toute communication entre les serveurs Confluence et Internet. Idéalement, toute communication entre un serveur Confluence et un réseau non sûr devrait être également coupée.
SOLUTION
- Il est recommandé de privilégier la déconnexion du service d'Internet tant que les correctifs ne sont pas appliqués et qu'un contrôle pour détecter une éventuelle compromission n'a pas été réalisé.
- Il est également recommandé de se référer au bulletin de sécurité Atlassian pour l'obtention des correctifs.
Source : CERT FR