Fin août, Atlassian, l’entreprise qui se cache derrière les outils Jira, Confluence ou encore Hipchat, a annoncé le lancement d’une mise à jour pour corriger la vulnérabilité CVE-2021-26084 de son outil wiki destiné aux entreprises, Confluence. Dès lors, les experts en sécurité ont constaté une hausse généralisée des recherches pour les serveurs Confluence vulnérables et les tentatives actives d’exploitation. Nous recommandons à tous les administrateurs de Confluence Server de mettre à jour le programme dès que possible.
Qu’est-ce que CVE-2021-26084 ?
CVE-2021-26084 est une vulnérabilité de Confluence qui vient de l’utilisation du langage de navigation Object-Graph (OGNL) du système de mention de Confluence. Cette faille permet l’injection du code OGNL puis l’exécution d’un code arbitraire sur les ordinateurs sur lesquels les programmes Confluence Server ou Confluence Data Center sont installés. Dans certains cas, même un utilisateur non authentifié peut exploiter la vulnérabilité : si l’option Allow people to sign up to create their account (Autoriser les gens à se connecter pour créer un compte) est active.
Atlassian considère que cette vulnérabilité est critique puisqu’elle est dotée d’un score CVSS de 9,8 et que plusieurs preuves de concept pour l’exploiter, dont une version qui permet d’exécuter un code à distance (RCE), sont déjà disponibles en ligne.
Quelles sont les versions de Confluence vulnérables ?
La situation est complexe. Les clients d’Atlassian utilisent différentes versions de Confluence et n’installent généralement pas les mises à jour à temps. Selon la description officielle d’Atlassian, l’entreprise a lancé des mises à jour pour les versions 6.13.23, 7.4.11, 7.11.6, 7.12.5 et 7.13.0. Ce qui veut dire que la vulnérabilité CVE-2021-26084 est encore exploitable dans les versions suivantes de Confluence Server : avant 6.13.23, entre 6.14.0 et 7.4.11, entre 7.5.0 et 7.11.6, et entre 7.12.0 et 7.12.5. Cette faille n’affecte pas les utilisateurs de Confluence Cloud.
Comment vous protéger
Atlassian conseille d’utiliser la version la plus récente de Confluence, soit 7.13.0. Si cela s’avère impossible, les utilisateurs des versions 6.13.x doivent installer la mise à jour 6.13.23 ; ceux des versions 7.4.x la mise à jour 7.4.11 ; ceux des versions 7.11.x la mise à jour 7.11.6 ; et ceux des versions 7.12.x la mise à jour 7.12.5. Si même l’installation d’une mise à jour intermédiaire est impossible, l’entreprise propose également de contourner le souci en appliquant un palliatif temporaire autant pour les environnements Windows que Linux.
Les machines qui exécutent Confluence sont des terminaux, tout comme n’importe quel serveur. Ainsi, elles ont aussi besoin d’une solution de sécurité fiable qui rend l’exécution d’un code arbitraire beaucoup plus difficile.
N’oubliez pas que pour exploiter une vulnérabilité à distance les cybercriminels doivent d’abord réussir à pénétrer dans le réseau de l’entreprise et que les experts équipés de services de type Managed Detection and Response peuvent détecter ces activités suspectes. Il convient également de souligner que l’accès à Confluence devrait être réduit. Aucune personne externe ne devrait avoir accès aux services internes de l’entreprise.