Atlassian a publié des correctifs de sécurité pour une vulnérabilité critique et exploitée dans des attaques, elle affecte ses produits Confluence Server et Data Center qui permet aux acteurs de la menace de réaliser une exécution de code à distance.

La faille est de type ‘zero-day’, connue sous le nom de CVE-2022-26134, elle affecte toutes les versions prises en charge de Confluence Server et Data Center. Le fournisseur a initialement mis à disposition des solutions de contournement et d'atténuation, et par la suite il a publié les versions 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 et 7.18.1 pour corriger le bogue.

Une exploitation réussie permet à des attaquants distants non authentifiés de créer de nouveaux comptes d’administrateur, d’exécuter des commandes et, en fin de compte, de prendre le contrôle du serveur. Les attaques initiales exploitant ce zero-day ont utilisé des webshells et d'autres malwares.

Rapid7 a mis à disposition une analyse technique de la vulnérabilité et a également publié un exploit de type "proof-of-concept" (PoC). L'exploit s'est rapidement propagé en ligne et les chercheurs partageant sur Twitter des exemples de la simplicité de l'exploitation.

Les serveurs Confluence étant une cible attractive pour l'accès initial à un réseau d'entreprise, les dispositifs doivent être mis à jour dès que possible ou appliqués des mesures d'atténuation.

Ne pas le faire conduit finalement à d’autres attaques plus importantes, notamment le déploiement de ransomware et le vol de données.