La società di software Atlassian ha chiesto agli utenti di Confluence di limitare l'accesso a Internet dello strumento o di spegnerlo completamente dopo aver scoperto un difetto molto grave che viene sfruttato in natura.

Lo strumento di collaborazione (Si apre in una nuova scheda) presenta da diversi anni un bug che consente agli hacker di montare attacchi di esecuzione di codice remoto non autenticati contro endpoint target (Si apre in una nuova scheda), ha confermato la società.

Come riportato da The Register, Atlassian ha segnalato per la prima volta di aver trovato il difetto il 2 giugno. Poiché la correzione è ancora in fase di elaborazione e il bug viene attivamente sfruttato, l'azienda ha esortato i clienti ad adottare misure alternative.

Un decennio di rischio

Inizialmente, l'azienda riteneva che solo l'ultima versione 7.18 di Confluence Server fosse vulnerabile, poiché c'erano prove che questa versione fosse sotto attacco. Tuttavia, ulteriori indagini hanno rivelato che tutte le versioni (a partire dalla 1.3.5) erano vulnerabili. La versione 1.3.5 è stata rilasciata quasi dieci anni fa, nel 2013.

La soluzione (si apre in una nuova scheda) è ancora in fase di sviluppo e l'azienda promette che verrà rilasciata entro la fine della giornata (3 giugno). Anche se questa è sicuramente una buona notizia, è possibile che non tutte le aziende siano presenti in tempo per la patch, dato che è venerdì.

Coloro che desiderano dormire sonni tranquilli durante il fine settimana hanno diverse opzioni: limitare l'accesso a Internet per le istanze di Confluence Server e Data Center o disabilitare del tutto le istanze di Confluence Server e Data Center. Atlassian ha anche affermato che le aziende potrebbero implementare una regola WAF (Web Application Firewall) per bloccare tutti gli URL contenenti € {, poiché "può ridurre il rischio".

Il difetto, identificato come CVE-2022-26134, è stato scoperto per la prima volta dalla società di sicurezza Volexity. La società afferma che gli aggressori potrebbero inserire una webshell della pagina del server Jave in una directory web accessibile pubblicamente su un server Confluence.

"Il file era una copia nota della variante JSP webshell China Chopper", ha scritto Volexity. “Tuttavia, un esame dei registri web ha mostrato che al file si accedeva a malapena. La webshell sembra essere stata scritta come mezzo di accesso secondario."

È stato anche scoperto che il processo dell'applicazione Web di Confluence avviava shell bash, che "si distinguevano", ha detto Volexity, perché ha generato un processo bash che ha generato un processo Python, generando una shell bash. .

“Volexity crede che l'attaccante abbia lanciato un unico tentativo di exploit... che a sua volta ha caricato in memoria un file di classe dannoso. richieste successive. Il vantaggio di un tale attacco era che l'attaccante non doveva sfruttare continuamente di nuovo il server ed eseguire comandi senza scrivere un file backdoor su disco".

Tramite il registro (si apre in una nuova scheda)

Condividi questo