Une vulnérabilité majeure d'Atlassian Confluence récemment découverte dans presque toutes les versions de l'outil de collaboration (s'ouvre dans un nouvel onglet) publiées au cours de la dernière décennie, est maintenant activement exploitée par les acteurs de la menace, a confirmé la sociedad.
La vulnerabilidad permite a los actores de amenazas montar ataques de ejecución remota de código no autenticados contra puntos finales de destino (se abre en una nueva pestaña). Un día después de su descubrimiento, la empresa lanzó parches para las versiones 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 y 7.18.1.
Dado que la falla se está explotando activamente, la empresa ha instado a sus usuarios y clientes a actualizar la herramienta (opens in a new tab) a la última versión de inmediato. Se rastrea como CVE-2022-26134, pero aún no tiene una puntuación de gravedad. Atlassian lo catalogó como "crítico".
Ограничить доступ в Интернет
Fue descubierto por primera vez por la empresa de seguridad Volexity, que dijo que los atacantes podían insertar un webshell de Java Server Page en un directorio web de acceso público en un servidor Confluence.
También se descubrió que el proceso de aplicación web de Confluence lanzabash shells, que "se destacó", dijo Volexity, porque generó un proceso bash que generó un proceso de Python, generando un shell bash. .
Los usuarios de Confluence que no pueden aplicar el parche por cualquier motivo tienen algunas opciones de mitigación adicionales, que giran en torno a la limitación del acceso a Internet para la herramienta. Durante el desarrollo del parche, la empresa aconsejó a los usuarios restringir el acceso a Internet de las instancias de Confluence Server y Data Center, o deshabilitar por completo las instancias de Confluence Server y Data Center.
Atlassian también dijo que las empresas podrían implementar una regla de firewall de aplicaciones web (WAF) para bloquear todas las URL que contengan €{, ya que "puede reducir su riesgo".
Aunque la compañía enfatizó la "explotación activa actual" en su aviso, no especificó quién lo está usando o contra quién.
Через: Реестр (откроется в новой вкладке)