En sårbarhet majeure d'Atlassian Confluence récement upptäckt dans presque toutes les versioner de l'util de collaboration (ouvre dans un nouvel onglet) publicerad au cours de la dernière décennie, esta maintenant aktivt exploatée por les acteurs de la menace, en bekräftade samhället .

Sårbarheten gör det möjligt för hotaktörer att montera oautentiserade fjärrexekveringsattacker mot riktade slutpunkter (öppnas i en ny flik). En dag efter upptäckten släppte företaget patchar för versionerna 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 och 7.18.1.

Eftersom bristen aktivt utnyttjas har företaget uppmanat sina användare och kunder att uppdatera verktyget (öppnas i en ny flik) till den senaste versionen omedelbart. Det spåras som CVE-2022-26134, men har ännu inte något allvarlighetsvärde. Atlassian listade det som "kritiskt".

Begränsa internetåtkomst

Det upptäcktes först av säkerhetsföretaget Volexity, som sa att angripare kunde infoga ett webbskal för Java Server Page i en allmänt tillgänglig webbkatalog på en Confluence-server.

Confluences webbapplikationsprocess visade sig också lansera bash-skal, som "stack ut", sa Volexity, eftersom det skapade en bash-process som gav upphov till en Python-process, som skapade ett bash-skal. .

Confluence-användare som av någon anledning inte kan använda patchen har några ytterligare begränsningsalternativ, som kretsar kring att begränsa internetåtkomsten för verktyget. Under utvecklingen av patchen rådde företaget användare att begränsa internetåtkomsten för Confluence Server- och Data Center-instanser, eller inaktivera Confluence Server- och Data Center-instanser helt och hållet.

Atlassian sa också att företag kan implementera en regel för webbapplikationsbrandvägg (WAF) för att blockera alla webbadresser som innehåller €{, eftersom det "kan minska din risk."

Även om företaget betonade "aktuellt aktivt utnyttjande" i sitt meddelande, specificerade det inte vem som använder det eller mot vem.

Via: registret (öppnas i en ny flik)

Dela detta