
Vulnérabilité Atlassian Confluence RCE : CVE-2022-26134
Description de la vulnérabilité
Atlassian Confluence est un outil de documentation collaborative. Le 2 juin, des informations sur ce qui est maintenant connu sous le nom de CVE-2022-26134 ont été rendues publiques. Le week-end suivant, divers pirates ont exploité la vulnérabilité dans des attaques, et, en un rien de temps, des acteurs malicieux en ont pris connaissance.
Cette vulnérabilité permet à des pirates non identifiés et à distance de créer de nouveaux comptes administratifs, d'exécuter des commandes à accès restreint et de contrôler les serveurs.
Différentes méthodologies ont été utilisées pour générer divers exploits permettant de développer des shells inversés, d'exécuter des requêtes DNS forcées, de recueillir des données et de créer de nouveaux comptes administratifs.
Un pirate pourrait insérer la charge utile malicieuse dans l'URI d'une requête HTTP. À l'heure actuelle, la plupart des démonstrations de faisabilité (PoCs) existantes utilisent la méthode GET. Cependant, il semble que toute méthode de requête aura le même effet, y compris une méthode de requête non valide.
CVSS : 9.8 | Critique | En attente d’analyse
CVE : CVE-2022-26134
Détection et protection contre les attaques
Pour remédier à cette vulnérabilité, il faut appliquer un correctif à Confluence. Atlassian fournit des recommandations détaillées à ce sujet.
Les modèles de signature actuels de Barracuda pour des os-command-injection et d'autres signatures d'injection de commandes bloquent les tentatives d'exploitation actuellement observées au quotidien. Atlassian a dans un premier temps fourni un modèle de base qui peut être appliqué manuellement par les clients de Barracuda Web Application Firewall. Bien qu'Atlassian ne suggère plus la règle WAF, celle-ci peut être une solution sûre et efficace pour pallier l'impossibilité d'appliquer la mise à jour.
Notre équipe de sécurité des applications déploie actuellement une nouvelle signature afin d'automatiser l'étape manuelle décrite ci-dessus. Cette signature ne sera pas automatiquement appliquée en mode actif en raison de la nature générique du modèle. Tout client sécurisant Atlassian Confluence peut activer cette signature pour son application, et l'assistance de Barracuda est disponible pour l'aider à mettre en place ce changement.
Pour en savoir plus sur les nouvelles signatures et les nouveaux paramètres requis pour cette correction, veuillez consulter ce document du Barracuda Campus.
Si vous avez besoin d'aide avec ces paramètres ou que vous avez des questions sur les schémas d'attaque, veuillez contacter l'assistance technique de Barracuda Networks.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter