Une bonne raison de mettre à jour Confluence

La CISA, le FBI et le MS-ISAC ont récemment publié une alerte jointe et ont demandé aux entreprises qui utilisent Confluence Data Center et Confluence Server d’installer immédiatement les mises à jour des programmes à cause d’une vulnérabilité critique. Nous vous expliquons quel est le problème et pourquoi vous devez tenir compte de cette alerte.

CVE-2023-22515 dans Confluence Data Center et Confluence Server

La vulnérabilité en question, connue comme CVE-2023-22515, a reçu le score maximal CVSS 3.0 de 10 sur 10 et son statut a été classé comme critique. Cette vulnérabilité permet aux cybercriminels, même non-authentifiés, de redémarrer le processus de configuration du serveur. S’ils exploitent la faille CVE-2023-22515, ils pourraient créer des comptes avec des droits administrateur sur un serveur Confluence vulnérable.

CVE-2023-22515 : une faille critique et hautement exploitable. Source

Cette menace ne concerne que les entreprises qui utilisent les versions locales des programmes Confluence Data Center et Confluence Server d’Atlassian. Les clients qui utilisent la version Cloud de Confluence ne sont pas concernés. Cette vulnérabilité n’affecte que les versions de Confluence Server postérieures à la version 8.0.0. Vous trouverez ci-dessous la liste complète des versions vulnérables selon Atlassian :

• 0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4
• 1.0, 8.1.1, 8.1.3, 8.1.4
• 2.0, 8.2.1, 8.2.2, 8.2.3
• 3.0, 8.3.1, 8.3.2
• 4.0, 8.4.1, 8.4.2
• 5.0, 8.5.1

Exploitation active et preuve de concept sur GitHub

Le principal problème est que la vulnérabilité est extrêmement facile à exploiter. Cela s’aggrave par le fait que, pour réussir une attaque sur un serveur vulnérable, le cybercriminel n’a pas besoin d’avoir accès à un compte du serveur. Cette situation élargit considérablement le champ d’action des cybercriminels.
La principale caractéristique de cette attaque est que les versions vulnérables de Confluence Data Center et Confluence Server permettent aux cybercriminels de modifier la valeur de l’attribut bootstrapStatusProvider.applicationConfig.setupComplete pour l’indiquer comme faux sans avoir à s’authentifier sur le serveur. Cette action permet aux cybercriminels de réinitialiser l’étape de configuration du serveur et peuvent librement créer leur propre compte administrateur.

Caractéristique principale de l’exploitation de la faille CVE-2023-22515 Confluence Data Center et Confluence Server Source

Il convient de souligner que ce constat n’est pas que théorique. Des attaques réelles ont déjà été lancées. Une semaine après que les informations relatives à CVE-2023-22515 ont été rendues publiques, l’équipe de Microsoft Threat Intelligence a observé qu’un groupe APT exploitait cette vulnérabilité.

L’équipe de Microsoft Threat Intelligence avertit que la faille CVE-2023-22515 est activement exploitée. Source

Comme nous l’avons dit, cette vulnérabilité qui concerne Confluence Data Center et Confluence Server est extrêmement facile à exploiter. Cela signifie que non seulement les cybercriminels d’APT hautement qualifiés peuvent l’exploiter, mais que les débutants qui s’ennuient peuvent aussi en tirer profit. Une preuve de concept d’exploitation de CVE-2023-22515 a aussi été publiée sur GitHub, tout comme un script Python pour une exploitation à grande échelle simple comme bonjour. Les cybercriminels n’ont qu’à saisir la liste des adresses des serveurs ciblés dans le script.

Comment protéger votre infrastructure contre CVE-2023-22515

Vous devez, dans la mesure du possible, mettre à jour vos programmes Confluence Data Center ou Confluence Server et installer une version non vulnérable (8.3.3, 8.4.3, 8.5.2) ou toute autre version ultérieure de la même section.

Si vous ne pouvez pas installer la mise à jour, nous vous conseillons d’isoler les serveurs Confluence vulnérables pour qu’ils ne soient pas publiquement accessibles. Autrement dit, vous devez désactiver l’accès depuis les réseaux externes jusqu’à ce que la mise à jour soit installée.

Si cela vous est impossible, une mesure intermédiaire qui permet de réduire la menace consiste à bloquer l’accès aux pages de configuration. Vous trouverez plus de détails dans l’alerte publiée par Atlassian. Il convient tout de même de souligner que cette option ne remplace pas la mise à jour de Confluence Data Center ou Confluence Server : cette technique ne contrecarre que temporairement le vecteur d’attaque connu.

De plus, il est conseillé aux entreprises qui utilisent Confluence Data Center et Confluence Server de vérifier si cette vulnérabilité a déjà été exploitée pour les attaquer. Voici certains éléments qui indiquent que la faille CVE-2023-22515 a été exploitée :

• De nouveaux membres suspects rejoignent le groupe confluence-administrators.
• De nouveaux comptes utilisateur ont été créés de façon inattendue.
• Des demandes /setup/*.action apparaissent dans les registres d’accès du réseau.
• Le code /setup/setupadministrator.action est présent dans un message d’exception dans le registre atlassian-confluence-security.log du répertoire de Confluence.
N’oubliez pas qu’il est peu probable que les cybercriminels exploitent la faille CVE-2023-22515 seulement pour prendre le contrôle de Confluence. Au contraire, ils vont certainement s’en servir comme tremplin pour lancer d’autres attaques sur les systèmes informatiques de l’entreprise.

Installez une solution EDR (Endpoint Detection and Response) pour surveiller l’activité suspecte au sein de l’infrastructure de votre entreprise. Si votre équipe interne de sécurité informatique manque de ressources, vous pouvez sous-traiter cette tâche et faire appel à un service externe qui va constamment rechercher les menaces qui pourraient cibler votre entreprise et y répondre rapidement.