Des pirates liés à la Chine exploitent activement une vulnérabilité récemment découverte dans Atlassian Confluence. Cette faille leur permet entre autres d’accéder aux données de l’entreprise.
Le logiciel de collaboration Confluence d’Atlassian est attaqué par des pirates. Microsoft l’a découvert. C’est une attaque menée par Storm-0062, un groupe lié au gouvernement chinois. Les attaquants ont exploité une vulnérabilité de type « zero day » dans Atlassian Confluence qui n’a été révélée qu’au début du mois.
La vulnérabilité (CVE-2023-22515) est classée au maximum 10 par CVE et est donc considérée comme critique. Elle permet aux attaquants de contourner l’authentification, de créer leurs propres comptes d’administrateur et de modifier les paramètres à partir de là, voire de voler des données. La vulnérabilité n’affecte que les installations de Confluence sur site. Ceux qui utilisent la version cloud n’ont rien à craindre.
Correctif disponible
On ne sait pas exactement combien cette attaque a de conséquences. Atlassian elle-même indique qu’au moins une poignée de clients ont déjà été victimes. L’entreprise a déjà publié un correctif pour le bogue. Ceux qui l’ont installé rapidement ont donc pu échapper au piège. Il est toutefois important de déployer le correctif dès que possible, car l’impact d’un piratage est infiniment plus grave que n’importe quel problème lié au processus de correction.
Cette attaque dévoile une tendance : les organisations qui utilisent des logiciels sur site sont souvent plus exposées que celles qui consomment les mêmes logiciels dans le cloud. Le problème tient moins au cloud lui-même qu’aux politiques de correctifs des fournisseurs de SaaS. Ils installent sans délai une mise à jour qui colmate une fuite critique, alors que les administrateurs d’infrastructures sur site sous-estiment encore souvent la gravité et l’urgence d’un tel correctif. Les attaquants tels que Storm-0062 en profitent.
Ce n’est pas la première fois qu’Atlassian est la cible d’attaquants. Cet été, des pirates ont exploité bogue monumental dans le logiciel. Comme un vrai professeur Gobelin, Atlassian avait confondu les meilleures pratiques avec les pires, et avait utilisé un mot de passe codé en dur dans son logiciel, qui a naturellement été fuité.