Le code d’exploitation de preuve de concept (PoC) pour une vulnérabilité critique révélée par Atlassian dans sa technologie Confluence Data Center and Server est devenu accessible au public, augmentant ainsi la nécessité pour les organisations utilisant la plate-forme de collaboration d’appliquer immédiatement le correctif de l’entreprise.
ShadowServer, qui surveille les activités malveillantes sur Internet, a signalé le 3 novembre avoir observé des tentatives d’exploitation de la vulnérabilité Atlassian à partir d’au moins 36 adresses IP uniques au cours des dernières 24 heures.
Atlassien a révélé la gravité presque maximale (9,1 sur 10 sur l’échelle CVSS) le 31 octobre avec un avertissement de son RSSI sur la vulnérabilité présentant un risque de « perte de données importante » si elle est exploitée.
Informations sur les vulnérabilités accessibles au public
Le bug, attribué l’identifiant CVE-2023-22518, affecte les clients de toutes les versions d’Atlassian Data Center et d’Atlassian Server, mais pas ceux qui utilisent les versions hébergées dans le cloud de ces technologies par l’entreprise. La description du bug par Atlassian l’identifie comme un problème impliquant une faible complexité d’attaque, aucune interaction de l’utilisateur et quelque chose qu’un attaquant pourrait exploiter avec peu ou pas de privilèges spéciaux.
La vulnérabilité est liée à une autorisation inappropriée, qui est essentiellement une faiblesse qui permet à un attaquant d’accéder à des fonctionnalités et à des données privilégiées dans une application. Dans ce cas, un attaquant qui exploiterait la vulnérabilité pourrait supprimer les données d’une instance Confluence ou en bloquer l’accès. Mais ils ne pourraient pas en exfiltrer les données, selon une analyse de la société de renseignement de sécurité. Effet de champ.
Le 2 novembre, Atlassian a mis à jour son alerte de vulnérabilité du 31 octobre avec un avertissement concernant les détails techniques de CVE-2023-22518 devenus publics. Ces informations augmentent le risque que des attaquants exploitent la vulnérabilité, a déclaré Atlassian. « Aucun exploit actif n’a encore été signalé, même si les clients doivent prendre des mesures immédiates pour protéger leurs instances », a déclaré la société. Ce conseil faisait écho à la recommandation d’Atlassian lors de la première révélation du bug plus tôt cette semaine. La société a recommandé aux organisations qui ne peuvent pas appliquer immédiatement les correctifs de supprimer leurs instances Confluence d’Internet jusqu’à ce qu’elles puissent appliquer les correctifs.
Grand nombre de systèmes exposés
ShadowServer a décrit l’activité croissante d’exploitation comme impliquant des tentatives de téléchargement de fichiers et de configuration ou de restauration d’instances Confluence vulnérables accessibles sur Internet.
« Nous voyons autour 24K exposé (pas nécessairement vulnérables) », ont déclaré ShadowServer, instances d’Atlassian Confluence. Une pluralité de systèmes exposés – environ 5 500 – sont situés aux États-Unis. D’autres pays avec un nombre relativement élevé de systèmes Atlassian Confluence exposés incluent la Chine avec quelque 3 000 systèmes, l’Allemagne. avec 2 000 et le Japon avec environ 1 400 instances exposées.
CVE-2023-22518 est la deuxième vulnérabilité majeure révélée par Atlassian dans ses technologies de collaboration Confluence Data Center et Confluence Server largement utilisées au cours du mois dernier. Le 4 octobre, la société a divulgué CVE-2023-22515, un bug de contrôle d’accès cassé de gravité maximale. Atlassian n’a découvert le bug qu’après que certains clients disposant d’instances Confluence Data Center et Server publiques aient signalé avoir rencontré des problèmes avec celui-ci. Atlassian a ensuite identifié l’attaquant comme un acteur étatique.
Comme pour le nouveau bug, CVE-2023-22515 impliquait également une faible complexité d’attaque. Les inquiétudes quant à la facilité avec laquelle il pourrait être exploité ont suscité un avis conjoint de l’Agence américaine de cybersécurité et d’infrastructure, du FBI et du Centre multi-États de partage et d’analyse d’informations (MS-ISAC). L’avis avertissait les organisations de se préparer à une activité d’exploitation généralisée et les exhortait à corriger la faille dès que possible.
