Le 4 octobre 2023, Atlassian a publié un avis de sécurité concernant une vulnérabilité critique de privatisation des privilèges dans Confluence Data Center et Server, identifiée sous le nom de CVE-2023-22515. Cette faille permettait à des attaquants externes d’exploiter une vulnérabilité précédemment inconnue dans les instances de Confluence Data Center et Server accessibles publiquement. Cela leur aurait permis de créer des comptes administrateurs non autorisés et d’accéder aux instances de Confluence.
Impacts de la Vulnérabilité
Les versions de Confluence Data Center et Server affectées par cette vulnérabilité sont les suivantes :
- Confluence Data Center 8.0.0 à 8.5.1
- Confluence Server 8.0.0 à 8.5.1
Les instances de Confluence sur l’internet public étaient particulièrement exposées, cette vulnérabilité étant exploitable de manière anonyme.
Mesures à Prendre
Pour les versions affectées, Atlassian recommande vivement :
- Mise à jour vers les Versions Corrigées : Les administrateurs sont encouragés à mettre à jour leurs installations vers les versions corrigées suivantes ou toute version ultérieure :
- Confluence Data Center et Confluence Server 8.3.3 ou ultérieure
- Confluence Data Center et Confluence Server 8.4.3 ou ultérieure
- Confluence Data Center et Confluence Server 8.5.2 (version de support à long terme) ou ultérieure
- Mesures d’Atténuation : Si la mise à jour immédiate n’est pas possible, il est recommandé de restreindre l’accès réseau externe à l’instance affectée. De plus, les administrateurs peuvent atténuer les vecteurs d’attaque connus en bloquant l’accès aux endpoints /setup/* sur les instances de Confluence.
Pour ce faire, des modifications doivent être apportées aux fichiers de configuration de Confluence sur chaque nœud, en bloquant l’accès aux pages de configuration non nécessaires pour une utilisation typique de Confluence.
Détection des Menaces
Outre la mise à jour vers une version corrigée, il est recommandé de vérifier toutes les instances de Confluence affectées pour les indicateurs de compromission suivants :
- Membres inattendus du groupe confluence-administrators
- Création inattendue de comptes d’utilisateurs
- Requêtes vers /setup/*.action dans les journaux d’accès réseau
- Présence de /setup/setupadministrator.action dans un message d’exception dans atlassian-confluence-security.log dans le répertoire principal de Confluence
Conclusion
Il est impératif pour les administrateurs Confluence de prendre des mesures immédiates pour remédier à cette vulnérabilité critique. Atlassian met à disposition les correctifs nécessaires et encourage les utilisateurs à mettre à jour leurs instances dès que possible ou à appliquer les mesures d’atténuation recommandées pour protéger leurs systèmes contre toute exploitation potentielle de cette faille de sécurité. Pour plus d’informations et pour suivre les dernières mises à jour sur cette vulnérabilité, veuillez consulter la page des avis de sécurité d’Atlassian.