Atlassian a corrigé trois vulnérabilités critiques et invite les clients utilisant Confluence, Bamboo, Bitbucket, Crowd, Fisheye et Crucible, Jira et Jira Service Management à mettre à jour leurs instances dès que possible.
Il n’est pas fait mention de l’exploitation de ces vulnérabilités dans la nature, mais les failles dans Atlassian Confluence sont souvent exploitées par les attaquants.
CVE-2022-26138 affecte l’application Questions for Confluence, qui est déployée et utilisée par certains clients de Confluence Server et Data Center.
Pour cette raison, et parce que la désinstallation de l’application ne supprime pas automatiquement le compte disabledsystemuser, ET parce qu’il est possible que le compte ait été précédemment créé par une version de l’application qui a été installée et désinstallée, Atlassian conseille vivement aux clients de vérifier si ce compte d’utilisateur actif est présent et de le désactiver ou de le supprimer avant ou après la mise à jour vers une version de l’application qui n’est pas vulnérable.
« Ces vulnérabilités affectent le code inclus dans chaque produit concerné. Les systèmes sont concernés même si aucune application tierce n’est installée », a ajouté Atlassian.
« Malheureusement, Atlassian ne peut pas confirmer si une instance a été compromise. Veuillez faire appel à l’équipe de sécurité locale ou à une société spécialisée dans la recherche de preuves de sécurité pour une enquête plus approfondie. Atlassian recommande de vérifier l’intégrité du système de fichiers de l’application, par exemple en comparant les artefacts dans leur état actuel avec des sauvegardes récentes pour voir s’il y a des différences inattendues. Toutes les compromissions de sécurité sont différentes, et il y a un risque qu’un attaquant puisse cacher son empreinte et modifier des fichiers importants tels que ceux qui dépendent du composant qui a été compromis ».