L’US Cyber Command a publié une alerte rare exhortant les organisations américaines à corriger immédiatement une vulnérabilité critique d’ Atlassian Confluence. Une vulnérabilité massivement exploitée.
Il est donc question du bug CVE-2021-26084 dans le logiciel wiki d’Atlassian Confluence. Ce problème est grave pour que US Cyber Command émet un avertissement. Sachant qu’elle est la composante pour la cybersécurité du ministère de la défense…
L’exploitation massive du bug Atlassian Confluence CVE-2021-26084 est donc en cours. Et on s’attend à ce qu’elle s’accélère encore. Comme on peut lire sur le communiqué émis vendredi.
Confluence est un logiciel wiki populaire. On l’utilise souvent pour l’intranet par exemple. Une série de bandes mal intentionnées scannent actuellement des brèches. Et ce, en vue de pénétrer dans les réseaux d’entreprises.
La vulnérabilité a été découverte et soumise par le biais du programme de primes aux bugs.
Le 25 août. Atlassian avait donc fini par annoncer qu’ils avaient découvert un bug critique dans différentes versions. Que ce soit de Confluence Server ou de Data Center. Un bug par lequel un utilisateur pouvait probablement sans autorisation faire tourner du code sur les logiciels.
Les entreprises qui déploient des mesures correctives sont maintenant en concurrence avec les acteurs de la menace. Ces acteurs cherchent déjà des utilisateurs vulnérables, selon l’alerte du Centre australien de cybersécurité.
Le code de validation de principe a donc été publié publiquement le 31 août. Et les professionnels de la sécurité craignent maintenant que les cybercriminels exploitent le bug en masse. Les commentaires du public sur Jira d’Atlassian suggèrent alors que certains serveurs de certains utilisateurs étaient déjà compromis.
Atlassian publie des mises à jour contre ces vulnérabilités :
Atlassian a publié des mises à jour de sécurité pour remédier à la vulnérabilité d’exécution de code à distance (RCE). Une vulnérabilité exploitée activement par Confluence, suivie sous la cote CVE-2021-26084. Permettant malheureusement aux attaquants non authentifiés d’exécuter des commandes sur un serveur vulnérable à distance.
Comme BleepingComputer l’a donc signalé, de multiples acteurs ont commencé à rechercher et à exploiter cette vulnérabilité. Et ce pour installer des mineurs de crypto après la publication d’un exploit PoC. Et ce, six jours après la publication des correctifs d’Atlassian.
Plusieurs entreprises de cybersécurité ont alors signalé que les acteurs de la menace et les chercheurs en sécurité recherchent et exploitent activement les serveurs Confluence non corrigés.
Par exemple, le directeur de l’ingénierie de la coalition, Tiago Henriques. Il a détecté des testeurs de pénétration qui tentaient de trouver des serveurs Confluence vulnérables.
La société de renseignement en cybersécurité Bad Packets a également repéré des acteurs de la menace de plusieurs pays. Déployant et lançant des scripts shell PowerShell ou Linux sur des serveurs Confluence compromis.
Après avoir analysé des échantillons d’exploits, BleepingComputer a elle aussi confirmé que les attaquants tentent d’installer des mineurs de crypto-monnaies. (Par exemple, des mineurs de crypto-monnaie XTRig Monero) sur les serveurs Windows et Linux Confluence.
Même si ces attaquants ne déploient actuellement que des mineurs de crypto-monnaie, les attaques peuvent rapidement s’intensifier. Et ce, si les acteurs de la menace commencent à se déplacer latéralement à travers les réseaux d’entreprise. Notamment, à partir de serveurs Confluence piratés sur site. Et ce pour laisser tomber la charge utile des ransomwares et exfiltrer des données.