La vulnerabilità del core di Atlassian Confluence è ora mirata

La vulnerabilità del core di Atlassian Confluence è ora mirata

Una delle principali vulnerabilità di Atlassian Confluence recentemente scoperta in quasi tutte le versioni dello strumento di collaborazione (si apre in una nuova scheda) rilasciata negli ultimi dieci anni viene ora sfruttata attivamente dagli autori delle minacce, ha confermato la società.

La vulnerabilità consente agli attori delle minacce di lanciare attacchi di esecuzione di codice remoto non autenticati contro endpoint mirati (si apre in una nuova scheda). Un giorno dopo la sua scoperta, la società ha rilasciato patch per le versioni 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 e 7.18.1.

Poiché la falla viene sfruttata attivamente, l'azienda ha invitato i propri utenti e clienti ad aggiornare immediatamente lo strumento (si apre in una nuova scheda) alla versione più recente. Viene registrato come CVE-2022-26134, ma non ha ancora un punteggio di gravità. Atlassian lo ha classificato come "critico".

Limita l'accesso a Internet

È stato scoperto per la prima volta dalla società di sicurezza Volexity, che ha affermato che gli aggressori potrebbero inserire una webshell Java Server Page in una directory Web accessibile pubblicamente su un server Confluence.

È stato scoperto che il processo dell'applicazione web Confluence lancia anche shell bash, cosa che "si distingue", ha detto Volexity, perché ha generato un processo bash che ha generato un processo Python, generando una shell bash. .

Gli utenti di Confluence che non sono in grado di applicare la patch per qualsiasi motivo hanno alcune opzioni di mitigazione aggiuntive, che ruotano attorno alla limitazione dell'accesso a Internet per lo strumento. Durante lo sviluppo della patch, la società ha consigliato agli utenti di limitare l'accesso a Internet per le istanze di Confluence Server e Data Center o di disabilitare del tutto le istanze di Confluence Server e Data Center.

Atlassian ha inoltre affermato che le aziende potrebbero implementare una regola WAF (Web Application Firewall) per bloccare tutti gli URL contenenti €{, in quanto "può ridurre il rischio".

Sebbene nella sua notifica la società abbia sottolineato "l'attuale sfruttamento attivo", non ha specificato chi lo sta utilizzando o contro chi.

Via: Il Registro (si apre in una nuova scheda)