C’est par un bulletin de sécurité qu’Atlassian a alerté ses clients de Confluence de l’existence d’une faille critique. Il révèle surtout que « son exploitation est active actuellement » et qu’aucun correctif n’est disponible. Cette vulnérabilité classée CVE-2022-26134 ouvre la voie à une exécution de code à distance (RCE). Elle est présente dans la version 7.18 de Confluence Server et Data Center (la plus récente annoncée le 30 mai) , mais aussi dans les versions 7.4 et ultérieures. Ce dernier cas est plus problématique, car la version 7.4 est sortie en 2020 et donc plus largement adoptée. L’éditeur a précisé que la faille a un impact sur Confluence jusqu'à la version 1.3.5, publiée en 2013.
A l’origine de cette découverte, la société de sécurité Volexity a publié une analyse de la situation qui suggère que les attaquants sont en mesure d'insérer un webshell Java Server Page (JSP) dans un répertoire web accessible au public sur les serveurs Confluence. « Le fichier était une copie bien connue de la variante JSP du webshell China Chopper », précise les experts de Volexity.
Des moyens d’atténuations avant un patch
La CISA (équivalent de l’Anssi aux Etats-Unis) a émis un avis dans lequel elle « demande instamment aux entreprises disposant des produits Confluence Server et Data Center d'Atlassian concernés de bloquer tout le trafic Internet vers et depuis ces équipements jusqu'à ce qu'une mise à jour soit disponible et appliquée avec succès. ».
Atlassian avait dans son bulletin de sécurité émis les mêmes propositions, c’est-à-dire restreindre l'accès des instances de Confluence Server et de Data Center à Internet ou les désactiver. La première option est facile à mettre en œuvre pour la plupart des utilisateurs, mais cause des perturbations importantes pour les collaborateurs à distance, à moins qu'une solution VPN ne soit mis en place. La deuxième option est plus radicale et va générer des dérangements plus graves. Atlassian prévoit de proposer un patch pour aujourd’hui.