CERTFR-2022-ALE-006
Vulnerability from certfr_alerte

[Mise à jour du 03 juin 2022 à 19h52] Atlassian a publié des correctifs.

Une vulnérabilité a été découverte dans Atlassian Confluence. Elle permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Cette vulnérabilité est actuellement exploitée de façon active par des attaquants qui semblent déployer différentes portes dérobées (webshells) pour maintenir leur présence sur les serveurs compromis.

Cette alerte sera mise à jour régulièrement.

Contournement provisoire

[mise à jour du 03 juin 2022 à 19h52]

Si l'application des correctifs ne peut être réalisée, et étant donné que des attaques sont en cours, le CERT-FR recommande fortement de bloquer sans délai toute communication entre les serveurs Confluence et Internet. Idéalement, toute communication entre un serveur Confluence et un réseau non sûr devrait être également coupée.

Atlassian propose des mesures de contournements (cf. section Documentation). La procédure diffère en fonction de la version de Confluence et nécessite le téléchargement  d'un ou plusieurs fichiers. Avec ces nouveaux éléments, le CERT-FR anticipe que des codes d'exploitation supplémentaires seront rapidement développés et probablement rendus publics.

Solution

[mise à jour du 03 juin 2022 à 19h52]

Le CERT-FR recommande de privilégier la déconnexion du service d'Internet tant que les correctifs ne sont pas appliqués et qu'un contrôle pour détecter une éventuelle compromission n'a pas été réalisé.

Se référer à l'avis de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

[mise à jour du 03 juin 2022 à 19h52]

  • Confluence Server et Data Server versions 1.3.0 à 7.4.x antérieures à 7.4.17
  • Confluence Server et Data Center versions 7.13.x antérieures à 7.13.7
  • Confluence Server et Data Center versions 7.14.x antérieures à 7.14.3
  • Confluence Server et Data Center versions 7.15.x antérieures à 7.15.2
  • Confluence Server et Data Center versions 7.16.x antérieures à 7.16.4
  • Confluence Server et Data Center versions 7.17.x antérieures à 7.17.4
  • Confluence Server et Data Center versions 7.18.x antérieures à 7.18.1
Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003e\u003cstrong\u003e[mise \u00e0 jour du 03 juin 2022 \u00e0 19h52]\u003c/strong\u003e\u003c/p\u003e \u003cul\u003e \u003cli\u003eConfluence Server et Data Server versions 1.3.0 \u00e0 7.4.x ant\u00e9rieures \u00e0 7.4.17\u003c/li\u003e \u003cli\u003eConfluence Server et Data Center versions 7.13.x ant\u00e9rieures \u00e0 7.13.7\u003c/li\u003e \u003cli\u003eConfluence Server et Data Center versions 7.14.x ant\u00e9rieures \u00e0 7.14.3\u003c/li\u003e \u003cli\u003eConfluence Server et Data Center versions 7.15.x ant\u00e9rieures \u00e0 7.15.2\u003c/li\u003e \u003cli\u003eConfluence Server et Data Center versions 7.16.x ant\u00e9rieures \u00e0 7.16.4\u003c/li\u003e \u003cli\u003eConfluence Server et Data Center versions 7.17.x ant\u00e9rieures \u00e0 7.17.4\u003c/li\u003e \u003cli\u003eConfluence Server et Data Center versions 7.18.x ant\u00e9rieures \u00e0 7.18.1\u003c/li\u003e \u003c/ul\u003e ",
  "closed_at": "2022-10-07",
  "content": "## Contournement provisoire\n\n**\\[mise \u00e0 jour du 03 juin 2022 \u00e0 19h52\\]**\n\n\u003cu\u003eSi l\u0027application des correctifs ne peut \u00eatre r\u00e9alis\u00e9e\u003c/u\u003e, et \u00e9tant\ndonn\u00e9 que \u003cu\u003edes attaques sont en cours\u003c/u\u003e, le CERT-FR recommande\nfortement de \u003cu\u003ebloquer sans d\u00e9lai toute communication entre les\nserveurs Confluence et Internet\u003c/u\u003e. Id\u00e9alement, toute communication\nentre un serveur Confluence et un r\u00e9seau non s\u00fbr devrait \u00eatre \u00e9galement\ncoup\u00e9e.\n\nAtlassian propose des mesures de contournements (cf. section\nDocumentation). La proc\u00e9dure diff\u00e8re en fonction de la version de\nConfluence et n\u00e9cessite le t\u00e9l\u00e9chargement\u00a0 d\u0027un ou plusieurs fichiers.\nAvec ces nouveaux \u00e9l\u00e9ments, le CERT-FR anticipe que des codes\nd\u0027exploitation suppl\u00e9mentaires seront rapidement d\u00e9velopp\u00e9s et\nprobablement rendus publics.\n\n## Solution\n\n\u003cspan style=\"color: #ff0000;\"\u003e**\\[mise \u00e0 jour du 03 juin 2022 \u00e0\n19h52\\]**\u003c/span\u003e\n\nLe CERT-FR recommande de privil\u00e9gier la d\u00e9connexion du service\nd\u0027Internet tant que les correctifs ne sont pas appliqu\u00e9s et qu\u0027un\ncontr\u00f4le pour d\u00e9tecter une \u00e9ventuelle compromission n\u0027a pas \u00e9t\u00e9 r\u00e9alis\u00e9.\n\nSe r\u00e9f\u00e9rer \u00e0 l\u0027avis de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf.\nsection Documentation).\n",
  "cves": [
    {
      "name": "CVE-2022-26134",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-26134"
    }
  ],
  "initial_release_date": "2022-06-03T00:00:00",
  "last_revision_date": "2022-10-07T00:00:00",
  "links": [
    {
      "title": "[mise \u00e0 jour] Avis de s\u00e9curit\u00e9 CERTFR-2022-AVI-521 du 03 juin 2022",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-521/"
    }
  ],
  "reference": "CERTFR-2022-ALE-006",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2022-06-03T00:00:00.000000"
    },
    {
      "description": "Publication de mesures de contournement.",
      "revision_date": "2022-06-03T00:00:00.000000"
    },
    {
      "description": "Publication de versions corrigeant la vuln\u00e9rabilit\u00e9",
      "revision_date": "2022-06-03T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2022-10-07T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[Mise \u00e0 jour du 03 juin 2022 \u00e0 19h52\\]\u003c/strong\u003e Atlassian a publi\u00e9 des\ncorrectifs.\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Atlassian Confluence. Elle\npermet \u00e0 un attaquant non authentifi\u00e9 de provoquer une ex\u00e9cution de code\narbitraire \u00e0 distance.\n\nCette vuln\u00e9rabilit\u00e9 est actuellement exploit\u00e9e de fa\u00e7on active par des\nattaquants qui semblent d\u00e9ployer diff\u00e9rentes portes d\u00e9rob\u00e9es\n(*webshells*) pour maintenir leur pr\u00e9sence sur les serveurs compromis.\n\nCette alerte sera mise \u00e0 jour r\u00e9guli\u00e8rement.\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Atlassian Confluence",
  "vendor_advisories": [
    {
      "published_at": "2022-06-02",
      "title": "Bulletin de s\u00e9curit\u00e9 Atlassian",
      "url": "https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.