Encore un caillou dans la chaussure d’Atlassian. L’éditeur logiciel a publié le 2 juin un avis de sécurité alertant ses clients quant à l’existence d’une vulnérabilité « critique ». Référencée CVE-2022-26134, celle-ci affecte Confluence, l’espace de travail en équipe édité par ses soins.
Les éditions sur site (mode auto-géré) sont concernées par cette faille zero day.
La vulnérabilité d’injection OGNL (Object Graph Navigation Language) permet à un utilisateur non authentifié d’exécuter du code arbitraire sur une instance Confluence Server ou Data Center. Les versions aussi anciennes que la 1.0.3 sont vulnérables.
Or, les brèches ne sont pas toutes colmatées, à ce jour.
La vulnérabilité est encore exploitée par des attaquants qui utilisent différentes portes dérobées (webshells), semble-t-il. Depuis la publication de correctifs le 3 juin 2022, plus de 850 adresses IP uniques ont ainsi tenté d’exploiter la vulnérabilité, selon une analyse de chercheurs de GreyNoise, dont Cybersecurity Dive s’est fait l’écho.
Les organisations qui ne peuvent pas appliquer les correctifs immédiatement ont intérêt à appliquer des mesures de contournement qui nécessitent le téléchargement d’un ou de plusieurs fichiers en fonction des versions concernées, explique sur sa page dédiée Atlassian.
L’éditeur australien de logiciels recommande aux utilisateurs de migrer vers la plus récente version de support à long terme (LTS) de Confluence.
En France, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) délivre lui aussi ses recommadations. « Point de contact international pour tout incident de nature cyber touchant la France », il préconise « de privilégier la déconnexion du service d’Internet tant que les correctifs ne sont pas appliqués et qu’un contrôle pour détecter une éventuelle compromission n’a pas été réalisé. »
Confluence est une solution d’espace de travail utilisée par plus de 75 000 clients. Ils y accèdent en mode cloud (qui n’est pas affecté par la faille) ou on-premise en mode auto-géré.
(crédit photo © Shutterstock)
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
Le Premier ministre a précisé les usages de l'IA dans les services de l'administration et…
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…