Crédit : Dreamstime
La société d’applications logicielles Atlassian a publié des correctifs d’urgence pour son populaire serveur Confluence et des éléments du centre d’information après que des rapports ont été publiés à la fin de la semaine dernière selon lesquels les assaillants exploitaient une vulnérabilité non corrigée dans la nature.
Selon les données du service de logiciel de pare-feu d’application Web (WAF) de Cloudflare, les attaques ont commencé il y a près de deux semaines.
La vulnérabilité, désormais identifiée comme CVE-2022-26134, est classée cruciale et permet à des agresseurs non authentifiés d’obtenir l’exécution de code à distance (RCE) sur des serveurs hébergeant les variantes Confluence impactées. Le fournisseur exhorte les consommateurs à mettre à jour les versions 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 et 7.18.1 récemment publiées, selon la version qu’ils utilisent.
Vulnérabilité d’injection Confluence OGNL
La vulnérabilité est décrite comme un Object- Injection de langage de navigation graphique (OGNL), OGNL étant un langage d’expression open source permettant d’obtenir et de définir les propriétés des éléments Java. Il fournit une méthode plus simple pour accomplir ce qui peut être effectué en Java lui-même et il est pris en charge dans de nombreux produits.
L’injection OGNL est une classe de vulnérabilités qui a affecté d’autres projets populaires dans le passé. Par exemple, la grande violation d’informations d’Equifax en 2017 a été provoquée par une vulnérabilité d’injection OGNL non corrigée – CVE-2017-5638 – dans la structure d’application Web populaire Apache Struts.
En exploitant de telles failles, les agresseurs peuvent tromper les applications pour qu’elles exécutent du code et des commandes arbitraires, ce qui était également le cas actuellement avec cette vulnérabilité Confluence.
Les attaques Confluence trouvées dans le sauvage
Le tout premier rapport sur la vulnérabilité a été publié le 2 juin par la société de sécurité Volexity, qui l’a découverte lors de l’examen d’un événement de sécurité chez un consommateur impliquant un serveur Confluence compromis disponible sur le Web.
« Une évaluation préliminaire de l’un des systèmes Confluence Server a rapidement reconnu qu’un fichier JSP avait été écrit dans un site d’annuaire Web accessible au public », ont écrit les scientifiques de Volexity dans un article.
» Le fichier était une copie populaire de la variante JSP du webshell China Chopper. Un examen des journaux Web a montré que le fichier avait en fait à peine été consulté. Le webshell semble avoir été composé comme une méthode d’accès secondaire. «
Lors de l’analyse d’un vidage mémoire du serveur, les scientifiques ont trouvé la preuve que l’application Web Confluence introduisait des shells de célébration. Ce sont des shells de ligne de commande sous Linux. La procédure Confluence a généré une procédure de célébration, qui a ensuite engendré un processus Python qui à son tour a engendré un shell de célébration.
Cela a été suivi par la publication d’un implant de mémoire uniquement disponible en libre accès appelé BEHINDER qui a été utilisé dans le passé pour des attaques contre des serveurs Web. L’inconvénient de cet implant est qu’il n’est pas implacable et disparaîtra si le serveur est redémarré, c’est pourquoi les agresseurs ont décidé d’écrire le webshell China Chopper sur disque pour avoir un moyen secondaire d’accéder et de réinfecter le système.
Atténuation et action pour la vulnérabilité Confluence
Atlassian a réagi rapidement au rapport et a publié un avis avec une directive WAF et des solutions de contournement de courte durée. Les clients qui ne peuvent pas effectuer des mises à niveau de version complètes instantanément ne peuvent mettre à jour que quelques-uns des fichiers concernés en fonction de la version qu’ils utilisent.
Dans un rapport du 6 juin, Cloudflare a gardé à l’esprit qu’une fois qu’il a inclus son propres règles WAF pour cet exploit et a examiné les informations de journal historiques, il a vu les premières tentatives d’utilisation de la vulnérabilité avec des charges utiles légitimes commencer le 26 mai.
D’autres tentatives correspondaient à la règle de détection WAF, mais n’ont pas n’avaient pas de charge utile et étaient très probablement des scans pour évaluer les vecteurs d’attaque. » La connaissance précise de la façon d’utiliser la vulnérabilité peut avoir été consolidée parmi certains ennemis et peut ne pas avoir été étendue « , a conclu la société.
Les rapports Volexity et Cloudflare contiennent tous deux des indicateurs de compromission. Étant donné que les attaques durent depuis deux semaines, les organisations doivent évaluer leurs serveurs Confluence pour détecter des signes d’intrusion via cette vulnérabilité.
Toute l’actualité en temps réel, est sur L’Entrepreneur
