Une vulnérabilité critique du jour zéro dans Atlassian Confluence Data Center and Server est activement exploitée, a averti jeudi le fabricant de logiciels.
Il n’y a actuellement aucun correctif disponible – bien qu’ils devraient être publiés aujourd’hui – et les utilisateurs de la solution de collaboration d’entreprise populaire sont invités à restreindre temporairement l’accès aux instances Confluence Server et Data Center à partir d’Internet, ou à les désactiver complètement.
Atlassian a refusé de partager des détails spécifiques sur la nature de CVE-2022-26134 jusqu’à ce qu’un correctif soit prêt – nous savons seulement que la vulnérabilité peut être exploitée par des attaquants non authentifiés pour réaliser l’exécution de code à distance, et qu’elle affecte toutes les versions prises en charge de Confluence Server et Data Center et probablement tous ceux qui ne sont pas pris en charge.
Au cours d’une enquête sur la réponse à un incident, ils ont découvert que deux serveurs Web connectés à Internet exécutant le logiciel Atlassian Confluence Server avaient été compromis via une variante JSP du shell Web China Chopper.
Comme indiqué précédemment, Atlassian conseille aux utilisateurs de restreindre l’accès Internet au serveur Confluence et au centre de données ou de les désactiver complètement.
Les équipes de sécurité doivent également vérifier si les installations Atlassian Confluence des organisations ont été compromises, et pour aider à cela, Volexity a publié les IOC et les règles de chasse.