À peu près à la même époque la semaine dernière, les acteurs de la menace ont commencé à exploiter discrètement une vulnérabilité jusque-là inconnue dans le logiciel Atlassian qui leur a donné un contrôle presque complet sur un petit nombre de serveurs. Depuis jeudi, les exploits actifs de la vulnérabilité se sont multipliés, créant une frénésie semi-organisée parmi les groupes criminels concurrents.
“Il est clair que plusieurs groupes de menaces et acteurs individuels ont l’exploit et l’ont utilisé de différentes manières”, a déclaré Steven Adair, président de Volexity, la société de sécurité qui a découvert la vulnérabilité du jour zéro tout en répondant à la violation d’un client sur le Week-end du Memorial Day. “Certains sont assez bâclés et d’autres sont un peu plus furtifs.” Son tweet est venu un jour après que son entreprise a publié le rapport détaillant la vulnérabilité.
Il est clair que plusieurs groupes de menaces et acteurs individuels détiennent l’exploit et l’utilisent de différentes manières. Certains sont assez bâclés et d’autres sont un peu plus furtifs. Le chargement de fichiers de classe en mémoire et l’écriture de shells JSP sont les plus populaires que nous ayons vues jusqu’à présent.
– Steven Adair (@stevenadair) 3 juin 2022
Adair a également déclaré que les secteurs verticaux de l’industrie touchés “sont assez répandus. Il s’agit d’un jeu gratuit où l’exploitation semble coordonnée”.
Publicité
CVE-2022-26134, car la vulnérabilité est suivie, permet l’exécution de code à distance non authentifié sur des serveurs exécutant toutes les versions prises en charge de Confluence Server et Confluence Data Center. Dans son avis, Volexity a qualifié la vulnérabilité de “dangereuse et trivialement exploitée”. La vulnérabilité est probablement également présente dans les versions de support non prises en charge et à long terme, a déclaré la société de sécurité Rapid7.
Les chercheurs de Volexity ont écrit :
Lors de l’analyse initiale de l’exploit, Volexity a noté qu’il ressemblait à des vulnérabilités précédentes qui ont également été exploitées afin d’obtenir l’exécution de code à distance. Ces types de vulnérabilités sont dangereux, car les attaquants peuvent exécuter des commandes et prendre le contrôle total d’un système vulnérable sans informations d’identification tant que des requêtes Web peuvent être adressées au système Confluence Server. Il convient également de noter que CVE-2022-26134 semble être une autre vulnérabilité d’injection de commande. Ce type de vulnérabilité est grave et exige une attention particulière.
Les acteurs de la menace exploitent la vulnérabilité pour installer le webshell Chopper et probablement d’autres types de logiciels malveillants. En espérant que les organisations vulnérables ont déjà corrigé ou résolu ce trou et, si ce n’est pas le cas, leur souhaitons bonne chance ce week-end. L’avis d’Atlassian est ici.
