Une vulnérabilité dans Atlassian Confluence Data Center and Server est exploitée à grande échelle. Si vous aviez repoussé l’application du correctif, il vaudrait mieux le faire le plus rapidement possible.
Le 16 janvier, Atlassian a publié un communiqué à propos de deux vulnérabilités dans Confluence Data Centre and Server. La plus grave était la vulnérabilité CVE-2023-22527, qui expose le logiciel à une exécution de code à distance et qui a été notée au maximum de dix sur dix par le CVSS. Atlassian a demandé aux entreprises de mettre à jour leur logiciel vers une version sécurisée.
Hélas, cette devise n’a pas été suivie par tout le monde, et on en voit maintenant les conséquences. Shadowserver partage quelques chiffres sur X. Seulement depuis le 19 janvier, quarante mille attaques auraient été menées sur des systèmes Atlassian non corrigés. Plus de la moitié d’entre elles se sont produites en Russie, et de nombreuses attaques ont ensuite eu lieu dans les pays asiatiques. Il semble que l’Europe soit encore hors de danger, mais nous conseillons tout de même aux utilisateurs européens d’Atlassian de prendre des mesures immédiatement.
Mais ce n’est pas tout
La vulnérabilité du Confluence Data Centre and Server absorbe sans doute toute l’attention à elle seule, mais la vulnérabilité de Jira mérite également notre attention. Les versions 8.20.0, 9.4.0, 9.5.0 et 9.6.0 contiennent une faille dans FasterXML Jackson Databind (CVE-2020-25649). Les pirates peuvent ainsi exécuter des actions malveillantes sur l’intégrité des données. Et la devise ? Corriger le plus vite possible. Le fait de déconnecter un serveur pendant un certain temps pour installer une mise à jour n’est finalement rien en comparaison de ce qui se passe quand des pirates découvrent une porte dérobée.
Ces derniers mois, on a plus souvent entendu parler d’Atlassian à cause de vulnérabilités dans ses systèmes. Une série de bogues en octobre et novembre de l’année dernière a rendu publiques les données des utilisateurs de Confluence. Parfois, le fournisseur se trompe aussi terriblement, comme à l’été 2022. Il avait alors programmé des mots de passe codés en dur dans son logiciel.