Des pirates informatiques ont commencé à exploiter une vulnérabilité critique d'exécution de code à distance dans deux solutions d'Atlassian : Confluence Server et Data Center. Problème : celle-ci avait été récemment corrigée. La première solution est une plateforme collaborative écrite en Java taillée avec fonction d'espaces de travail et de gestion de projets que les organisations peuvent exécuter localement sur leurs propres serveurs. De son côté, Data Center est une version plus riche en fonctionnalités de Confluence prenant en charge des éléments tels que les calendriers d'équipe, les analyses, la gestion des autorisations plus avancée, la prise en charge du réseau de diffusion de contenu, etc. Les attaques effectuées permettent de déployer des logiciels malveillants d'extraction de crypto-monnaie. « Les pots de miel Bad Packets ont détecté une activité d'analyse et d'exploitation de masse ciblant la vulnérabilité Atlassian Confluence RCE CVE-2021-26084 à partir d'hôtes en Russie, à Hong Kong, au Brésil, au Népal, en Pologne, en Roumanie, en Estonie, aux États-Unis et en Italie », a indiqué le cabinet de renseignement sur les menaces Bad Packets à notre confrère CSO. « Plusieurs preuves de concept ont été publiées, démontrant publiquement comment exploiter cette vulnérabilité ».

D'après Atlassian, la CVE-2021-26084 est liée à un problème d'injection OGNL (objet-graphe) qui permet aux utilisateurs authentifiés, et dans certains cas non authentifiés, d'exécuter du code arbitraire sur des serveurs exécutant des versions affectées des produits. Le langage de navigation OGNL est un langage d'expression open source permettant d'obtenir et de définir les propriétés des objets Java. La faille touche toutes les versions Atlassian Confluence et Data Center antérieures aux versions 6.13.23, 7.4.11, 7.11.6, 7.12.5 et 7.13.0 qui ont été publiées le 25 août pour les branches encore prises en charge du logiciel. Cependant l'éditeur recommande de mettre à niveau vers la dernière version dans la branche 7.13.x si possible, qui a un support à long terme. Des scripts de correctifs manuellement exécutables sur des hôtes Linux ou Windows ont également été fournis comme solution temporaire de contournement pour les utilisateurs qui ne peuvent pas effectuer une mise à niveau complète.

Un shell web couplé au backdoor

Selon le bulletin de l'éditeur, la vulnérabilité a été signalée via son programme de bug bounty par un chercheur nommé Benny Jacob (SnowyOwl). Depuis, d'autres chercheurs ont analysé le correctif et rédigé des rapports détaillés sur le bogue, accompagnés de PoC d'exploits. De plus, le fournisseur affirme que le problème peut être exploité par des utilisateurs non authentifiés dans certains cas. Comme pour toutes les vulnérabilités de type injection de code malveillant, les attaquants peuvent inclure des lignes de commande (bash) exécutées sur le système d'exploitation. Le code de Confluence utilise une méthode isSafeExpression pour évaluer les expressions OGNL pour les propriétés et méthodes malveillantes codées en dur. Mais comme avec la plupart des approches basées sur des listes noires, les attaquants et les chercheurs peuvent généralement trouver un moyen de les contourner, ce qui était également le cas ici. Les mineurs de crypto-monnaie employés dans le cadre de vulnérabilités d'exécution de code distant constituent pour les attaquants un moyen simple de monétiser directement leur accès aux serveurs sous-jacents. Cependant, un tel accès peut également être utilisé pour déployer des portes dérobées plus furtives qui peuvent ensuite être utilisées pour du déplacement latéral à l'intérieur des réseaux d'entreprise si les serveurs Web concernés ne sont pas correctement isolés du reste du réseau.

En 2019, la société de sécurité et de réponse aux incidents FireEye a publié un rapport sur les attaques d'un groupe de pirates informatiques basé en Chine, identifié en tant qu'APT41, ayant exploité une précédente faille d'Atlassian Confluence (CVE-2019-3396) pour compromettre un serveur Web dans une université de recherche basée aux États-Unis. APT41 est un cybergang axé à la fois sur l'espionnage et l'extorsion de fonds qui a l'habitude d'armer des vulnérabilités récemment divulguées quelques jours après leur divulgation publique. Dans cette attaque, ce cybergang a exploité la vulnérabilité Confluence pour déployer un shell Web et un programme de porte dérobée. Bad Packets a déclaré à CSO qu'il n'avait pas observé d'attaques contre Confluence spécifiquement par le passé, mais qu'il a vu des attaques exploitant des vulnérabilités dans d'autres produits Atlassian, notamment Crowd (RCE CVE-2019-11580), Jira SSRF (CVE-2019-8451) et UID (CVE-2020-36289).