Una vulnerabilità maggiore d'Atlassian Confluence récemment scoperto dans presque toutes les versioni de l'util de collaboration (ouvre dans un nouvel onglet) pubblicato au cours de la dernière décennie, esta maintenant attivamente sfruttato per les acteurs de la menace, a confermato la società .

La vulnerabilità consente agli attori delle minacce di lanciare attacchi di esecuzione di codice remoto non autenticati contro endpoint mirati (si apre in una nuova scheda). Un giorno dopo la sua scoperta, la società ha rilasciato patch per le versioni 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 e 7.18.1.

Poiché il difetto viene attivamente sfruttato, l'azienda ha esortato i propri utenti e clienti ad aggiornare immediatamente lo strumento (si apre in una nuova scheda) all'ultima versione. Viene tracciato come CVE-2022-26134, ma non ha ancora un punteggio di gravità. Atlassian lo ha elencato come "critico".

Limita l'accesso a Internet

È stato scoperto per la prima volta dalla società di sicurezza Volexity, che ha affermato che gli aggressori potrebbero inserire una webshell Java Server Page in una directory Web accessibile pubblicamente su un server Confluence.

È stato anche scoperto che il processo dell'applicazione Web di Confluence avviava shell bash, che "si distinguevano", ha detto Volexity, perché ha generato un processo bash che ha generato un processo Python, generando una shell bash. .

Gli utenti di Confluence che non sono in grado di applicare la patch per qualsiasi motivo hanno alcune opzioni di mitigazione aggiuntive, che ruotano attorno alla limitazione dell'accesso a Internet per lo strumento. Durante lo sviluppo della patch, la società ha consigliato agli utenti di limitare l'accesso a Internet per le istanze di Confluence Server e Data Center o di disabilitare del tutto le istanze di Confluence Server e Data Center.

Atlassian ha anche affermato che le aziende potrebbero implementare una regola WAF (Web Application Firewall) per bloccare tutti gli URL contenenti € {, poiché "può ridurre il rischio".

Sebbene la società abbia sottolineato "l'attuale sfruttamento attivo" nella sua comunicazione, non ha specificato chi ne fa uso o contro chi.

Via: Il Registro (si apre in una nuova scheda)

Condividi questo