Cyberattaques : la dernière vulnérabilité d’Atlassian Confluence largement exploitée

Le 31 octobre, Atlassian a publié un avis de sécurité détaillant la vulnérabilité CVE-2023-22518 affectant ses produits Confluence Data Center et Server. Ceux-ci ont déjà constitué une cible populaire pour les attaquants. L’avis invitait dès lors les utilisateurs à passer aux versions corrigées et incluait un message du RSSI d’Atlassian, Bala Sathiamurthy, qui demandait aux clients de « prendre des mesures immédiates » sous peine de « pertes de données significatives ». Ce message a été réitéré dans une mise à jour du 2 novembre, bien qu’Atlassian ait déclaré n’avoir reçu aucun rapport d’exploitation active. 

Mais voilà, les rapports d’exploitation active des clients d’Atlassian ont commencé à affluer le 3 novembre, et leur nombre ne cesse d’augmenter. Et le 6 novembre, le score CVSS de sévérité de la vulnérabilité a été relevé de 9.1 à 10, le plus élevé.

L’avis souligne également que toutes les versions sur site de Confluence Data Center et Server sont affectées par la faille, qui pourrait permettre à un attaquant non authentifié d’obtenir éventuellement accès à un compte administrateur. Atlassian a déclaré que les instances cloud ne sont pas affectées.

Mais entre-temps, les observations d’exploitation de la vulnérabilité à des fins de déploiement de ransomwares ont commencé à se manifester. Huntress vient ainsi de détailler l’activité post-exploitation dans un billet de blog, qui comprend des preuves de déploiement de ransomware. Comme d’autres fournisseurs, Huntress a d’abord observé une exploitation à partir du 3 novembre, trois jours seulement après la publication du correctif. 

« Après avoir obtenu un accès administratif avec l’utilisateur admin injecté, les adversaires sont libres d’installer un plugin Atlassian Web Shell pour exécuter du code à distance, voler des informations sensibles dans les espaces Confluence ou installer un ransomware », écrit Huntress dans son billet de blog.

Dans un billet publié lundi, Red Canary a averti qu’une exploitation réussie pourrait conduire au déploiement du ransomware Cerber, une souche qui a été découverte en 2016. 

« Il convient de noter que la première soumission du binaire du ransomware sur VirusTotal date du 1er novembre 2023, ce qui suggère que l’exploitation a pu commencer dans les 24 heures suivant la divulgation initiale de la CVE, qu’Atlassian a rendue publique le 31 octobre 2023 », relève Red Canary dans son billet blog.

De son côté, Rapid7 a confirmé que son équipe de réponse managée a également observé « l’exploitation d’Atlassian Confluence dans plusieurs environnements clients, y compris pour le déploiement de rançongiciels ». L’éditeur n’a pas fourni de chiffre exact, mais indique que les chercheurs ont observé que « plusieurs chaînes d’attaque » impliquent le même déploiement du ransomware Cerber suite à l’exploitation réussie de la CVE-2023-22518. 

« Les clients devraient mettre à jour d’urgence une version corrigée de Confluence », écrit Rapid7.