Une récente vague de cyberattaques ciblant la technologie largement utilisée du centre de données et des serveurs Atlassian Confluence a entraîné une augmentation du score CVSS (Common Vulnerability Scoring System) de la vulnérabilité associée. La vulnérabilité, initialement notée 9.1, a maintenant été augmentée à un score critique de 10. Cette augmentation de la gravité est due à la découverte d'attaques actives de ransomwares et d'autres exploits contre des systèmes non corrigés.

Toutes les versions d'Atlassian Confluence Data Center et Server sont affectées par cette vulnérabilité. Cependant, il est important de noter que les instances cloud ne sont pas sensibles à ces attaques. La faille de sécurité, identifiée comme CVE-2023-22518, est un problème d'autorisation inappropriée, permettant à des personnes non autorisées de réinitialiser Confluence et d'obtenir un accès administratif.

Le récent avis d'Atlassian a souligné un changement dans la portée des attaques, conduisant à une révision de la gravité de la vulnérabilité. En outre, les chercheurs en sécurité de Rapid7 ont émis un avertissement concernant la nature croissante de ces attaques, qui se sont intensifiées au cours du week-end dernier.

Atlassian, société australienne réputée pour ses outils de développement logiciel et de collaboration, a reconnu la gravité de cette vulnérabilité. L'avis mettait l'accent sur les conséquences potentielles de l'exploitation, affirmant que des attaquants non autorisés pourraient compromettre la confidentialité, l'intégrité et la disponibilité des instances Confluence.

Bien que l'étendue exacte de l'impact reste inconnue, Atlassian a exhorté les équipes de sécurité à être vigilantes et à faire attention à certains indicateurs de compromission. Ceux-ci incluent la perte inattendue de connexion ou d'accès, les demandes de « /json/setup-restore » dans les journaux d'accès au réseau, l'installation de plugins inconnus (en particulier un nommé « web.shell.Plugin »), le cryptage de fichiers ou la corruption de données, et l'apparition de membres inconnus dans le groupe confluence-administrators ou de comptes utilisateurs nouvellement créés.

Alors que les organisations continuent de faire face à l’évolution des cybermenaces, il est essentiel que les équipes de sécurité restent informées des dernières vulnérabilités, violations et tendances émergentes. En s'abonnant à des sources fiables d'informations sur la cybersécurité, les professionnels peuvent s'assurer qu'ils sont bien préparés pour protéger leurs systèmes et leurs données contre des attaques potentielles.

Foire Aux Questions (FAQ)

Q : Qu'est-ce qu'Atlassian Confluence ?

Atlassian Confluence est un outil de collaboration et de gestion de contenu populaire développé par Atlassian. Il permet aux équipes de créer, d'organiser et de collaborer sur des projets et des documents sur une plateforme centralisée et accessible.

Q : Qu'est-ce que CVE-2023-22518 ?

CVE-2023-22518 fait référence à une vulnérabilité d'autorisation inappropriée identifiée dans Atlassian Confluence Data Center and Server. Il permet à des attaquants non authentifiés de réinitialiser Confluence et d'obtenir des privilèges administratifs, ce qui pourrait conduire à une compromission complète de l'intégrité du système.

Q : Comment les organisations peuvent-elles atténuer le risque associé à cette vulnérabilité ?

Pour atténuer le risque, les organisations doivent appliquer rapidement les correctifs et mises à jour nécessaires fournis par Atlassian. Ils doivent également surveiller les journaux système pour détecter toute activité suspecte, telle que des pertes de connexion inattendues, des requêtes réseau inhabituelles ou des installations de plugins non autorisées. De plus, pratiquer l’accès au moindre privilège et former régulièrement les employés aux meilleures pratiques en matière de cybersécurité peut aider à prévenir l’exploitation de cette vulnérabilité.

Q : Les instances cloud d'Atlassian Confluence sont-elles affectées ?