Actus

Critical Atlassian Confluence zero-day activement utilisé dans les attaques

Par , le 4 juin 2022 - 11 minutes de lecture
Critical Atlassian Confluence zero-day activement utilisé dans les attaques
Notez l'article

Les pirates exploitent activement une nouvelle vulnérabilité zero-day Atlassian Confluence identifiée comme CVE-2022-26134 pour installer des shells Web, sans correctif disponible pour le moment.

Aujourd’hui, Atlassian a publié un avis de sécurité révélant que CVE-2022-26134 est une vulnérabilité critique d’exécution de code à distance non authentifiée, suivie à la fois dans Confluence Server et Data Center.

Atlassian affirme avoir confirmé la vulnérabilité de Confluence Server 7.18.0 et pense que Confluence Server et Data Center 7.4.0 et versions ultérieures sont également vulnérables.

L’avis avertit que les pirates exploitent activement Confluence Server 7.18.0.

Comme aucun correctif n’est disponible, Atlassian demande aux clients de rendre leurs serveurs inaccessibles par l’une de ces deux méthodes :

Restreindre les instances Confluence Server et Data Center à partir d’Internet.

Désactivation des instances Confluence Server et Data Center.

Il n’existe aucun autre moyen d’atténuer cette vulnérabilité.

Les organisations qui utilisent Atlassian Cloud (accessible via atlassian.net) ne sont pas affectées par cette vulnérabilité.

Atlassian travaille activement sur un correctif et publiera de plus amples informations dans son avis dès qu’il sera disponible.

La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté ce zero-day à son “catalogue de vulnérabilités exploitées connues” et demande aux agences fédérales de bloquer tout le trafic Internet vers les serveurs Confluence d’ici demain 3 juin.

Mise à jour du 03/06/22 : Atlassian a publié des mises à jour de sécurité qui résolvent la vulnérabilité et ont partagé la déclaration suivante avec BleepingComputer.

“Le 3 juin 2022, nous avons mis à jour l’avis de sécurité avec le correctif pour les produits Confluence Data Center et Server. Veuillez consulter l’avis pour plus d’informations et d’instructions : https://confluence.atlassian.com/doc/confluence-security-advisory -2022-06-02-1130377146.html”

Serveurs exploités pour l’accès initial

Serveurs exploités pour l'accès initial

Dans une divulgation coordonnée, la société de cybersécurité Volexity a expliqué que la vulnérabilité avait été découverte au cours du week-end du Memorial Day lors de la réponse aux incidents.

Après avoir mené l’enquête, Volexity a pu reproduire l’exploit contre la dernière version de Confluence Server et l’a divulgué à Atlassian le 31 mai.

“Après un examen approfondi des données collectées, Volexity a pu déterminer la compromission du serveur résultant d’un attaquant lançant un exploit pour obtenir l’exécution de code à distance”, explique un article de blog de Volexity.

“Volexity a ensuite été en mesure de recréer cet exploit et d’identifier une vulnérabilité zero-day affectant les versions entièrement à jour de Confluence Server.”

Dans la brèche analysée par Volexity, les pirates ont installé BEHINDER, un shell Web JSP qui permet aux pirates d’exécuter à distance des commandes sur le serveur compromis.

Les acteurs de la menace ont ensuite utilisé BEHINDER pour installer le shell Web China Chopper et un simple outil de téléchargement de fichiers comme sauvegardes.

À partir de l’enquête de Volexity, les acteurs de la menace ont vidé les tables d’utilisateurs du serveur Confluence, écrit des webshells supplémentaires et modifié les journaux d’accès pour échapper à la détection.

Volexity dit qu’ils croient que les multiples acteurs de la menace en provenance de Chine utilisent ces exploits.

Comme aucun correctif n’est disponible, Volexity recommande également aux administrateurs de Confluence de déconnecter leurs serveurs d’Internet jusqu’à ce qu’Atlassian publie un correctif.

Volexity a publié une liste d’adresses IP derrière les attaques et des règles Yara pour identifier l’activité du shell Web sur les serveurs Confluence.

Mise à jour 03/06/22 : ajout d’informations sur les mises à jour de sécurité publiées

Pourquoi s’appelle-t-il zéro jour ?

Pourquoi s'appelle-t-il zéro jour ?

"Zero-day" est un terme général qui décrit les vulnérabilités de sécurité récemment découvertes que les pirates peuvent utiliser pour attaquer les systèmes. Le terme "jour zéro" fait référence au fait que le fournisseur ou le développeur vient tout juste d’apprendre l’existence de la faille, ce qui signifie qu’il dispose de « zéro jour » pour la corriger.

Qu’entend-on par attaque zero-day ? Si un pirate parvient à exploiter la vulnérabilité avant que les développeurs de logiciels ne puissent trouver un correctif, cet exploit devient connu sous le nom d’attaque du jour zéro. Les vulnérabilités du jour zéro peuvent prendre presque n’importe quelle forme, car elles peuvent se manifester par n’importe quel type de vulnérabilité logicielle plus large.

Comment les jours zéro sont-ils trouvés ?

Dans la plupart des cas, les pirates utilisent du code pour exploiter le jour zéro. Parfois, il est découvert par un individu lorsque le programme se comporte de manière suspecte, ou le développeur lui-même peut reconnaître la vulnérabilité. Les attaquants ont trouvé une nouvelle voie en exploitant une vulnérabilité zero-day dans le système d’exploitation mobile Android de Google.

Quelle est la signification de 0 jours ?

Un exploit zero-day (0day) est une cyberattaque ciblant une vulnérabilité logicielle inconnue de l’éditeur du logiciel ou des éditeurs d’antivirus. L’attaquant repère la vulnérabilité logicielle avant toute partie intéressée à l’atténuer, crée rapidement un exploit et l’utilise pour une attaque.

Qui a créé le jour zéro ?

Zéro jours
Réalisé parAlex Gibney
Écrit parAlex Gibney
Distribué parPhotos de Magnolia
Date de sortie11 février 2016 (Berlin) 8 juillet 2016 (États-Unis)

Qu’est-ce qu’une tentative de spear phishing ?

Une attaque de spear phishing est une tentative d’acquérir des informations sensibles ou d’accéder à un système informatique en envoyant des messages contrefaits qui semblent légitimes.

Quels sont les 3 types d’e-mails de spear phishing ? Quels sont les différents types de phishing ?

  • Hameçonnage.
  • Pêche à la baleine.
  • Vishing.
  • Hameçonnage par courriel.

Qu’est-ce qu’un exemple de harponnage ?

Exemple 1 : L’attaquant encourage la cible à signer un « manuel de l’employé mis à jour » �� Détruisons cette attaque de spear phishing. Dans cet exemple, l’attaquant se fait passer pour un employé des RH. Mais l’adresse e-mail de l’expéditeur ne correspond pas au domaine de la cible.

Qu’est-ce que le harponnage contre le phishing ?

Le spear phishing est également une attaque spécifique et ciblée sur une ou un certain nombre de victimes, tandis que le phishing régulier tente d’escroquer des masses de personnes. Dans le cas du spear phishing, les escrocs utilisent souvent l’ingénierie sociale et les e-mails usurpés pour cibler des individus spécifiques au sein d’une organisation.

Existe-t-il une défense contre les attaques zero day ?

Existe-t-il une défense contre les attaques zero day ?

Protection contre les logiciels malveillants Zero Day avec Cynet La plate-forme Cynet 360 Advanced Threat Detection and Response offre une protection contre les menaces, y compris les attaques Zero Day, les menaces persistantes avancées (APT), les logiciels malveillants avancés et les chevaux de Troie qui peuvent échapper aux mesures de sécurité traditionnelles basées sur les signatures.

Quelles sont les méthodes de récupération les plus courantes pour une attaque zero-day ? L’une des méthodes de récupération les plus courantes pour une attaque zero-day consiste à supprimer physiquement (ou via un pare-feu basé sur le réseau) tout accès à quiconque aurait la capacité de l’exploiter.

Lequel des éléments suivants peut protéger votre réseau d’entreprise contre une attaque zero-day ?

Les utilisateurs peuvent se protéger contre les attaques zero-day en configurant leurs logiciels, y compris les systèmes d’exploitation, les logiciels antivirus et les navigateurs Internet, pour qu’ils se mettent à jour automatiquement et en installant rapidement toutes les mises à jour recommandées en dehors des mises à jour régulières.

Quel type de capteur IPS offre la meilleure protection contre les attaques zero-day ?

Sécurité des points finaux Une alternative à cela est l’IPS basé sur l’hôte. L’IPS basé sur l’hôte est l’un des moyens les plus efficaces de protéger un terminal contre les tentatives d’exploitation et les logiciels malveillants. Il atténue la plupart des attaques connues et est également efficace pour prévenir les attaques zero-day.

Qui est le hacker n°1 au monde ?

Qui est le hacker n°1 au monde ?

Kevin Mitnick est l’autorité mondiale en matière de formation sur le piratage informatique, l’ingénierie sociale et la sensibilisation à la sécurité. En fait, la suite de formation informatisée de sensibilisation à la sécurité des utilisateurs finaux la plus utilisée au monde porte son nom. Les présentations principales de Kevin sont en partie un spectacle de magie, une partie en éducation et toutes en partie divertissantes.

Qui est le hacker n°1 mondial ? Kevin Mitnick est l’autorité mondiale en matière de formation sur le piratage informatique, l’ingénierie sociale et la sensibilisation à la sécurité. En fait, la suite de formation informatisée de sensibilisation à la sécurité des utilisateurs finaux la plus utilisée au monde porte son nom.

Qui a les meilleurs hackers au monde ?

Chine. De loin, la Chine abrite le plus grand nombre de pirates informatiques sur Terre. Au cours du dernier trimestre de 2012, le pays le plus peuplé du monde représentait 41 % du trafic mondial de piratage.

Qui est le hacker n°3 au monde ?

Kévin Mitnick
NationalitéAméricain
Autres nomsLe Condor, le hacker du côté obscur
ProfessionConsultant en technologies de l’information Auteur
OrganismeMitnick Security Consulting Chief Hacking Officer chez KnowBe4

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.