Le logiciel wiki commercial de l'entreprise australienne Atlassian est doté d'un Faille de sécurité du jour zéro ont été signalés. Il y aurait déjà eu une exploitation active.

Découverte de la faille de sécurité

La faille de sécurité actuelle avait déjà été découverte fin mai par une entreprise de sécurité. Celle-ci a constaté que des pirates utilisaient la faille de sécurité pour installer un webshell sur les serveurs de clients. Plusieurs groupes chinois auraient exploité cette faille de sécurité du jour zéro. Toutes les versions actuelles de Confluence seraient concernées.

Le 03 juin, Atlassian a publié des recommandations d'action à l'intention des utilisateurs sur son propre site de support Confluence.

Une mise à jour pour corriger la faille a déjà été fournie par AtlassianNous avons déjà réussi à mettre à jour les installations de nos clients avec la dernière version 7.18.1. mettre à jour:

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html?utm_source=alert-email&utm_medium=email&utm_campaign=Confluence%20Server%20and%20Data%20Center-advisory-june-2022_EML-13330&jobid=105603018&subid=1530219343

Nous recommandons à toutes les installations concernées qui étaient disponibles sur Internet de rechercher intensivement les webshells et les traces d'attaques sur les serveurs (par ex. dans les fichiers log et les configs), à moins que l'on ait utilisé des solutions de conteneurs comme Docker et que l'on se soit débarrassé de l'ancien conteneur lors de la mise à niveau et que l'on n'ait repris que les données, ce que nous avons fait.

Code La qualité et la sécurité se dégradent chez Atlassian

En avril déjà, Atlassian a connu une longue panne. Les services cloud ont été touchés et des outils comme Jira et Confluence ont été inaccessibles pendant 14 jours. Il ne s'agissait toutefois que d'un script erroné qui a pu être corrigé. L'erreur dans le script avait pour conséquence que les ID des applications ou des sites étaient acceptés et supprimés sans deuxième demande. Cette erreur n'a toutefois été détectée que plus tard, ce qui a entraîné dans un premier temps une panne de longue durée. Atlassian a déclaré vouloir tirer les leçons de ces erreurs. Environ 775 clients ont été touchés par les effets du script erroné.

Que peuvent faire les personnes concernées ?

Tant qu'il n'existe pas de correctif officiel de l'éditeur pour de telles failles de sécurité zero-day, les administrateurs sont invités à limiter fortement ou à désactiver complètement l'accès au serveur Confluence. Nous avons eu connaissance de la faille dès vendredi grâce à un abonnement aux newsletters de sécurité d'Atlassian et avons pu désactiver des instances clients grâce à de bonnes chaînes d'alerte.

En principe, une application qui doit être disponible sur Internet pour fonctionner est plus vulnérable aux problèmes de sécurité de l'information. Les entreprises, en particulier, ont tout intérêt à utiliser un système qu'elles hébergent elles-mêmes sur l'Intranet, et non des solutions basées sur Internet, si elles ont besoin d'une protection élevée.

Avertissements concernant la faille de sécurité

Des avertissements concernant cette faille de sécurité circulent également en Amérique. La Cyber Security and Information Security Agency (CISA) a exigé que toutes les agences fédérales interrompent le trafic vers les serveurs de Confluence.

Votre entreprise a besoin d'un soutien spécialisé dans le domaine de la sécurité et de la protection des données ? Notre équipe d'experts se fera un plaisir de vous aider !

DSB buchen
fr_FRFrançais