Résumé
[Mise à jour du 03 juin 2022 à 19h52] Atlassian a publié des
correctifs.
Une vulnérabilité a été découverte dans Atlassian Confluence. Elle
permet à un attaquant non authentifié de provoquer une exécution de code
arbitraire à distance.
Cette vulnérabilité est actuellement exploitée de façon active par des
attaquants qui semblent déployer différentes portes dérobées
(webshells) pour maintenir leur présence sur les serveurs compromis.
Cette alerte sera mise à jour régulièrement.
Contournement provisoire
[mise à jour du 03 juin 2022 à 19h52]
Si l'application des correctifs ne peut être réalisée, et étant
donné que des attaques sont en cours, le CERT-FR recommande
fortement de bloquer sans délai toute communication entre les
serveurs Confluence et Internet. Idéalement, toute communication
entre un serveur Confluence et un réseau non sûr devrait être également
coupée.
Atlassian propose des mesures de contournements (cf. section
Documentation). La procédure diffère en fonction de la version de
Confluence et nécessite le téléchargement d'un ou plusieurs fichiers.
Avec ces nouveaux éléments, le CERT-FR anticipe que des codes
d'exploitation supplémentaires seront rapidement développés et
probablement rendus publics.
Solution
[mise à jour du 03 juin 2022 à
19h52]
Le CERT-FR recommande de privilégier la déconnexion du service
d'Internet tant que les correctifs ne sont pas appliqués et qu'un
contrôle pour détecter une éventuelle compromission n'a pas été réalisé.
Se référer à l'avis de l'éditeur pour l'obtention des correctifs (cf.
section Documentation).