Actus

Les botnets Linux exploitent désormais un bug critique d’Atlassian Confluence

Par , le 11 juin 2022 - 8 minutes de lecture
Les botnets Linux exploitent désormais un bug critique d'Atlassian Confluence
Notez l'article

Plusieurs botnets utilisent désormais des exploits ciblant une vulnérabilité critique d’exécution de code à distance (RCE) pour infecter les serveurs Linux exécutant des installations Atlassian Confluence Server et Data Center non corrigées.

L’exploitation réussie de cette faille (suivie en tant que CVE-2022-26134) permet à des attaquants non authentifiés de créer de nouveaux comptes d’administrateur, d’exécuter des commandes et, finalement, de prendre le contrôle du serveur à distance vers des serveurs exposés à Internet.

Après la publication en ligne des exploits de preuve de concept (PoC), la société de cybersécurité GreyNoise a déclaré avoir détecté une multiplication par près de dix de l’exploitation active, passant de 23 adresses IP tentant de l’exploiter à plus de 200.

Parmi ces attaquants, les chercheurs de Lacework Labs ont trouvé trois botnets, suivis comme Kinsing, Hezb et Dark.IoT, connus pour cibler les serveurs Linux vulnérables et déployer des portes dérobées et des cryptomineurs.

Kinsing a également ciblé Confluence dans le passé en utilisant une autre faille critique Atlassian Confluence RCE pour installer un logiciel malveillant de cryptomining après la publication en ligne d’un exploit PoC.

Le botnet Hezb déployait auparavant des balises Cobalt Strike compatibles Linux et des mineurs XMRig sur des serveurs exécutant des produits WSO2 non corrigés.

Dark.IoT est également connu pour supprimer les charges utiles de coinminer tout en ciblant les machines virtuelles Microsoft Azure avec des exploits OMIGOD et des centaines de milliers d’appareils utilisant Realtek SDK.

“Les exploits impliquant Confluence sont toujours populaires parmi diverses menaces, y compris celles ciblant le cloud”, a expliqué Lacework Lab.

“Bien que Lacework Labs ait observé beaucoup d’activité par rapport à d’autres exploits, il y a encore une faible exposition par rapport aux vulnérabilités de “pause-café” plus percutantes telles que celles impliquant log4j ou apache.”

Largement exploité, les agences fédérales sommées d’atténuer

Largement exploité, les agences fédérales sommées d'atténuer

Depuis qu’il a été divulgué la semaine dernière comme un bogue zero-day activement exploité par la société de cybersécurité Volexity, la CISA a ordonné aux agences fédérales de bloquer tout le trafic Internet vers les serveurs Confluence sur leurs réseaux.

Volexity a également révélé que plusieurs acteurs de la menace en provenance de Chine utilisaient probablement des exploits pour cibler des serveurs vulnérables non corrigés contre cette faille RCE (suivie sous le nom de CVE-2022-26134) pour déployer des shells Web.

Un jour après la révélation de ce bogue activement exploité, Atlassian a publié des mises à jour de sécurité et a exhorté les clients à corriger leurs installations pour bloquer les attaques en cours.

“Nous recommandons fortement la mise à niveau vers une version fixe de Confluence car plusieurs autres correctifs de sécurité sont inclus dans les versions fixes de Confluence”, a déclaré Atlassian.

Si vous ne pouvez pas immédiatement mettre à niveau votre installation Confluence, vous pouvez également utiliser une solution de contournement temporaire qui nécessite la mise à jour de certains fichiers JAR sur le serveur Confluence, comme détaillé ici.

Chaque espace Confluence a son propre ensemble d’autorisations qui déterminent ce que les gens peuvent faire dans l’espace. Les autorisations d’espace sont définies par l’administrateur de l’espace. L’utilisateur qui a créé l’espace est automatiquement un administrateur de l’espace, et d’autres utilisateurs peuvent également se voir accorder l’autorisation d’administration de l’espace.

Confluence est-elle certifiée ISO ?

Confluence est-elle certifiée ISO ?

Confluence Cloud est hébergé avec AWS. Atlassian et AWS sont tous deux certifiés ISO 27001, votre traitement de données est donc conforme au RGPD.

Jira est-il certifié ISO ? Obtenez des réponses à nos principales questions sur la sécurité, la fiabilité, la confidentialité et la conformité. ISO/IEC 27001 – Atlassian Cloud a obtenu la certification ISO/IEC 27001.

Confluence est-il conforme à ITAR ?

Toutes les données techniques dans Jira et Confluence doivent être protégées pour être conformes à l’ITAR, mais rappelez-vous également que CMMC doit également être concerné. La plupart des entreprises du DIB rechercheraient une solution hébergée sur le FedRAMP afin de réduire le coût de la satisfaction des exigences DFARS pour CUI.

Est-ce que Confluence FedRAMP est certifié ?

Nous sommes actuellement certifiés FedRAMP pour Trello, et maintenant nous prenons notre famille de produits Jira et Confluence via l’autorisation, ciblant une FedRAMP Moderate Authority-to-Operate (ATO), qui donnera à plus d’agences gouvernementales la possibilité de mieux collaborer, innover plus vite et faire avancer le travail mieux que…

Confluence dispose-t-il d’un chiffrement de bout en bout ?

Confluence dispose-t-il d'un chiffrement de bout en bout ?

Stockez et partagez des données sensibles avec un chiffrement de bout en bout. Les données sont cryptées et décryptées côté client, donc aucune donnée non sécurisée n’est transférée ou stockée sur le serveur.

Confluence est-il crypté ? Considérations de sécurité Confluence ne fournit pas de fonctionnalité de chiffrement des données pour les données stockées dans la base de données, ni pour les données stockées dans le système de fichiers. Dans Confluence Data Center, la communication entre les nœuds se fait via des sockets TCP et n’est pas chiffrée.

Jira est-il un chiffrement de bout en bout ?

Il s’appelle Team Secrets et protège les pièces jointes sensibles dans JIRA avec un cryptage de bout en bout pour les téléchargements de pièces jointes et une vérification à 2 facteurs pour les téléchargements.

À quel point Confluence est-il sécurisé ?

Confluence est une application Java 100% pure sans composants natifs. En tant que tel, il est très résistant aux vulnérabilités de débordement de tampon – les dépassements de tampon possibles sont limités à ceux qui sont des bogues dans l’environnement d’exécution Java lui-même.

Est-il sûr de stocker des mots de passe dans Confluence ?

Il existe un module complémentaire pour Confluence Cloud (Secure Content) qui fait exactement ce que veut le questionneur. Vous pouvez stocker les mots de passe directement dans Confluence et les afficher ou les masquer. Les données sont également cryptées.

Comment protéger une page dans Confluence ?

Comment protéger une page dans Confluence ?

Vous pouvez ajouter des restrictions pour des individus ou pour des groupes Confluence. Pour ajouter ou supprimer des restrictions de page, vous devez disposer des autorisations nécessaires pour modifier la page et de l’autorisation « Restreindre » ou « Admin » dans l’espace.

Comment créer une page sécurisée dans Confluence ?

Comment verrouiller un document dans Confluence ?

J’ai reçu le message de Confluence : “Vous devez d’abord verrouiller le fichier avant de pouvoir le modifier”

  • Accédez à la page “… -> Pièces jointes” (ou utilisez la macro Pièces jointes), puis cliquez sur le bouton/lien “Verrouiller pour modifier”. …
  • Vous pouvez également demander à votre administrateur Confluence d’activer le verrouillage intelligent.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.