Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

[mise à jour du 03 juin 2022 à 19h52]

  • Confluence Server et Data Server versions 1.3.0 à 7.4.x antérieures à 7.4.17
  • Confluence Server et Data Center versions 7.13.x antérieures à 7.13.7
  • Confluence Server et Data Center versions 7.14.x antérieures à 7.14.3
  • Confluence Server et Data Center versions 7.15.x antérieures à 7.15.2
  • Confluence Server et Data Center versions 7.16.x antérieures à 7.16.4
  • Confluence Server et Data Center versions 7.17.x antérieures à 7.17.4
  • Confluence Server et Data Center versions 7.18.x antérieures à 7.18.1

Résumé

[Mise à jour du 03 juin 2022 à 19h52] Atlassian a publié des correctifs.

Une vulnérabilité a été découverte dans Atlassian Confluence. Elle permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Cette vulnérabilité est actuellement exploitée de façon active par des attaquants qui semblent déployer différentes portes dérobées (webshells) pour maintenir leur présence sur les serveurs compromis.

Cette alerte sera mise à jour régulièrement.

Contournement provisoire

[mise à jour du 03 juin 2022 à 19h52]

Si l'application des correctifs ne peut être réalisée, et étant donné que des attaques sont en cours, le CERT-FR recommande fortement de bloquer sans délai toute communication entre les serveurs Confluence et Internet. Idéalement, toute communication entre un serveur Confluence et un réseau non sûr devrait être également coupée.

Atlassian propose des mesures de contournements (cf. section Documentation). La procédure diffère en fonction de la version de Confluence et nécessite le téléchargement  d'un ou plusieurs fichiers. Avec ces nouveaux éléments, le CERT-FR anticipe que des codes d'exploitation supplémentaires seront rapidement développés et probablement rendus publics.

Solution

[mise à jour du 03 juin 2022 à 19h52]

Le CERT-FR recommande de privilégier la déconnexion du service d'Internet tant que les correctifs ne sont pas appliqués et qu'un contrôle pour détecter une éventuelle compromission n'a pas été réalisé.

Se référer à l'avis de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation