Vulnérabilité Atlassian Confluence RCE : CVE-2022-26134

Description de la vulnérabilité

Atlassian Confluence est un outil de documentation collaborative. Le 2 juin, des informations sur ce qui est maintenant connu sous le nom de CVE-2022-26134 ont été rendues publiques. Le week-end suivant, divers pirates ont exploité la vulnérabilité dans des attaques, et, en un rien de temps, des acteurs malicieux en ont pris connaissance.

Cette vulnérabilité permet à des pirates non identifiés et à distance de créer de nouveaux comptes administratifs, d'exécuter des commandes à accès restreint et de contrôler les serveurs.

Différentes méthodologies ont été utilisées pour générer divers exploits permettant de développer des shells inversés, d'exécuter des requêtes DNS forcées, de recueillir des données et de créer de nouveaux comptes administratifs.

Un pirate pourrait insérer la charge utile malicieuse dans l'URI d'une requête HTTP. À l'heure actuelle,  la plupart des démonstrations de faisabilité (PoCs) existantes utilisent la méthode GET. Cependant, il semble que toute méthode de requête aura le même effet, y compris une méthode de requête non valide.

CVSS : 9.8 | Critique | En attente d’analyse

CVE : CVE-2022-26134

Détection et protection contre les attaques

Pour remédier à cette vulnérabilité, il faut appliquer un correctif à Confluence. Atlassian fournit des recommandations détaillées à ce sujet.

Les modèles de signature actuels de Barracuda pour des os-command-injection et d'autres signatures d'injection de commandes bloquent les tentatives d'exploitation actuellement observées au quotidien. Atlassian a dans un premier temps fourni un modèle de base qui peut être appliqué manuellement par les clients de Barracuda Web Application Firewall. Bien qu'Atlassian ne suggère plus la règle WAF, celle-ci peut être une solution sûre et efficace pour pallier l'impossibilité d'appliquer la mise à jour.

Notre équipe de sécurité des applications déploie actuellement une nouvelle signature afin d'automatiser l'étape manuelle décrite ci-dessus. Cette signature ne sera pas automatiquement appliquée en mode actif en raison de la nature générique du modèle. Tout client sécurisant Atlassian Confluence peut activer cette signature pour son application, et l'assistance de Barracuda est disponible pour l'aider à mettre en place ce changement.

Pour en savoir plus sur les nouvelles signatures et les nouveaux paramètres requis pour cette correction, veuillez consulter ce document du Barracuda Campus.

Si vous avez besoin d'aide avec ces paramètres ou que vous avez des questions sur les schémas d'attaque, veuillez contacter l'assistance technique de Barracuda Networks.