Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Atlassian Confluence Server et Data Center versions 6.14.x à 7.4.x antérieures à 7.4.11
- Atlassian Confluence Server et Data Center versions 7.12.x antérieures à 7.12.5
- Atlassian Confluence Server et Data Center versions 7.5.x à 7.11.x antérieures à 7.11.6
- Atlassian Confluence Server et Data Center versions antérieures à 6.13.23
Résumé
Le 25 août 2021, Atlassian a publié un avis de sécurité alertant de l'existence d'une vulnérabilité affectant la solution de travail collaboratif Confluence, référencée CVE-2021-26084.
L'éditeur, ainsi que plusieurs autres sources, indiquent que la vulnérabilité CVE-2021-26084, qui permet à un attaquant non authentifié d'exécuter du code arbitraire à distance, est activement exploitée. Le 3 septembre 2021, l'éditeur confirme par ailleurs que toutes les versions citées ci-dessus sont vulnérables, quelles que soient leurs configurations.
Le CERT-FR a également connaissance de campagnes d'identification de serveurs Confluence exposés sur Internet. De plus, des codes d'exploitation sont disponibles publiquement pour cette vulnérabilité.
Solution
Le CERT-FR recommande très fortement d'appliquer les correctifs sans délai au vu des risques d'exploitation. Dans le cas où la mise à jour ne peut pas être effectuée rapidement, l'éditeur propose un contournement temporaire (*).
Le CERT-FR rappelle également que ce type de service ne devrait pas être exposé sur Internet [1].
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
(*) La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Documentation
- Bulletin de sécurité Atlassian CVE-2021-26084 du 25 août 2021 https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
- [1] Guide ANSSI sur le nomadisme numérique https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
- Avis CERT-FR CERTFR-2021-AVI-677 du 06 septembre 2021 https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-677/
- Référence CVE CVE-2021-26084 https://www.cve.org/CVERecord?id=CVE-2021-26084