Après la divulgation coordonnée d’une vulnérabilité zeroday par Volexity dans Atlassian Confluence, désormais connue sous le nom de CVE-2022-26134, les attaquants se sont précipités pour l’exploiter. Les versions affectées de Confluence Server et Data Center, la vulnérabilité d’injection OGNL permettrait à un attaquant non authentifié d’exécuter du code sur une instance de Confluence Server ou Data Center.

Atlassian Confluence est un outil de documentation collaborative. Le 2 juin, la vulnérabilité CVE-2022-26134 a été rendue publique, et, au cours du week-end suivant, divers acteurs de la menace se sont précipités pour utiliser la vulnérabilité. La vulnérabilité permet à des attaquants non authentifiés de créer à distance de nouveaux comptes administratifs, d’exécuter des commandes privilégiées et de prendre le contrôle des serveurs.

C’est le moment d’appliquer les correctifs

Depuis la divulgation initiale et la publication ultérieure de diverses preuves de concept, les chercheurs de Barracuda ont analysé les données de leurs installations dans le monde entier et découvert de nombreuses tentatives d’exploitation de cette vulnérabilité. Ces tentatives malveillantes vont de la reconnaissance bénigne à des tentatives relativement complexes d’infection des systèmes avec des logiciels malveillants de botnet DDoS et des cryptomonnaies.

« Les tentatives d’exploitation proviennent principalement d’adresses IP situées en Russie, puis aux États-Unis, en Inde, aux Pays-Bas et en Allemagne », explique Barracuda. Des recherches antérieures ont montré que les attaques provenant d’adresses IP américaines sont principalement le fait de fournisseurs de cloud. De même, pour l’Allemagne, la plupart des attaques provenaient de fournisseurs d’hébergement.

« Compte tenu du niveau d’intérêt constant des cybercriminels pour cette vulnérabilité, il est important de prendre des mesures pour protéger vos systèmes, conseillent les chercheurs de Barracuda. C’est le moment idéal pour opter pour des correctifs, surtout si le système est tourné vers l’Internet. Le placement d’un pare-feu d’application web devant de tels systèmes fournira une défense en profondeur contre les attaques de type “zero-day” et autres vulnérabilités ».