L’US Cyber Command a émis aujourd’hui une alerte rare demandant aux organisations américaines de corriger immédiatement une vulnérabilité critique d’Atlassian Confluence massivement exploitée.
L’unité USCYBERCOM a également souligné l’importance de patcher les serveurs Confluence vulnérables dès que possible : « Veuillez appliquer les correctifs immédiatement si vous ne l’avez pas encore fait – cela ne peut pas attendre la fin du week-end. »
Le 25 août, Atlassian a publié des mises à jour de sécurité pour remédier à la vulnérabilité d’exécution de code à distance de Confluence activement exploitée, repérée sous le nom de CVE-2021-26084 et permettant à des attaquants non authentifiés d’exécuter des commandes sur un serveur vulnérable à distance.
Plusieurs entreprises de cybersécurité ont signalé que les acteurs de la menace et les chercheurs en sécurité recherchent activement et exploitent les serveurs Confluence non corrigés.
Après avoir analysé des échantillons d’exploitation, BleepingComputer a confirmé que les attaquants tentent d’installer des mineurs de crypto sur les serveurs Confluence Windows et Linux.
Même si ces attaquants ne déploient actuellement que des mineurs de crypto-monnaies, les attaques peuvent rapidement prendre de l’ampleur si les acteurs de la menace commencent à se déplacer latéralement dans les réseaux d’entreprise à partir de serveurs Confluence sur site piratés pour déposer la charge utile du ransomware et exfiltrer les données.
