{"id":21106,"date":"2023-10-25T14:32:27","date_gmt":"2023-10-25T12:32:27","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21106"},"modified":"2025-05-23T00:46:17","modified_gmt":"2025-05-22T22:46:17","slug":"confluence-data-center-server-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/confluence-data-center-server-vulnerability\/21106\/","title":{"rendered":"Une bonne raison de mettre \u00e0 jour Confluence"},"content":{"rendered":"<p>La CISA, le FBI et le <a href=\"https:\/\/en.wikipedia.org\/wiki\/Center_for_Internet_Security\" target=\"_blank\" rel=\"noopener nofollow\">MS-ISAC<\/a> ont r\u00e9cemment publi\u00e9 une <a href=\"https:\/\/www.theregister.com\/2023\/10\/17\/confluence_zero_day_advisory\/\" target=\"_blank\" rel=\"noopener nofollow\">alerte<\/a> jointe et ont demand\u00e9 aux entreprises qui utilisent Confluence Data Center et Confluence Server d\u2019installer imm\u00e9diatement les mises \u00e0 jour des programmes \u00e0 cause d\u2019une vuln\u00e9rabilit\u00e9 critique. Nous vous expliquons quel est le probl\u00e8me et pourquoi vous devez tenir compte de cette alerte.<\/p>\n<h2>CVE-2023-22515 dans Confluence Data Center et Confluence Server<\/h2>\n<p>La vuln\u00e9rabilit\u00e9 en question, connue comme <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-22515\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-22515<\/a>, a re\u00e7u le score maximal CVSS 3.0 de 10 sur 10 et son statut a \u00e9t\u00e9 class\u00e9 comme critique. Cette vuln\u00e9rabilit\u00e9 permet aux cybercriminels, m\u00eame non-authentifi\u00e9s, de red\u00e9marrer le processus de configuration du serveur. S\u2019ils exploitent la faille CVE-2023-22515, ils pourraient cr\u00e9er des comptes avec des droits administrateur sur un serveur Confluence vuln\u00e9rable.<\/p>\n<div id=\"attachment_21109\" style=\"width: 3010px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2023\/10\/25141834\/confluence-data-center-server-vulnerability-1-scaled.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-21109\" class=\"wp-image-21109 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2023\/10\/25141834\/confluence-data-center-server-vulnerability-1-scaled.jpg\" alt=\"Gravit\u00e9 de la faille CVE-2023-22515\" width=\"3000\" height=\"2068\"><\/a><p id=\"caption-attachment-21109\" class=\"wp-caption-text\">CVE-2023-22515 : une faille critique et hautement exploitable. <a target=\"_blank\" rel=\"nofollow noopener\">Source<\/a><\/p><\/div>\n<p>\u00a0<\/p>\n<p>Cette menace ne concerne que les entreprises qui utilisent les versions locales des programmes Confluence Data Center et Confluence Server d\u2019Atlassian. Les clients qui utilisent la version Cloud de Confluence ne sont pas concern\u00e9s. Cette vuln\u00e9rabilit\u00e9 n\u2019affecte que les versions de Confluence Server post\u00e9rieures \u00e0 la version 8.0.0. Vous trouverez ci-dessous la liste compl\u00e8te des versions vuln\u00e9rables selon Atlassian\u00a0:<\/p>\n<ul>\n<li>0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4<\/li>\n<li>1.0, 8.1.1, 8.1.3, 8.1.4<\/li>\n<li>2.0, 8.2.1, 8.2.2, 8.2.3<\/li>\n<li>3.0, 8.3.1, 8.3.2<\/li>\n<li>4.0, 8.4.1, 8.4.2<\/li>\n<li>5.0, 8.5.1<\/li>\n<\/ul>\n<h2>Exploitation active et preuve de concept sur GitHub<\/h2>\n<p>Le principal probl\u00e8me est que la vuln\u00e9rabilit\u00e9 est extr\u00eamement facile \u00e0 exploiter. Cela s\u2019aggrave par le fait que, pour r\u00e9ussir une attaque sur un serveur vuln\u00e9rable, le cybercriminel n\u2019a pas besoin d\u2019avoir acc\u00e8s \u00e0 un compte du serveur. Cette situation \u00e9largit consid\u00e9rablement le champ d\u2019action des cybercriminels.<br>\nLa principale caract\u00e9ristique de cette attaque est que les versions vuln\u00e9rables de Confluence Data Center et Confluence Server permettent aux cybercriminels de modifier la valeur de l\u2019attribut <code>bootstrapStatusProvider.applicationConfig.setupComplete<\/code> pour l\u2019indiquer comme <code>faux<\/code> sans avoir \u00e0 s\u2019authentifier sur le serveur. Cette action permet aux cybercriminels de r\u00e9initialiser l\u2019\u00e9tape de configuration du serveur et peuvent librement cr\u00e9er leur propre compte administrateur.<\/p>\n<div id=\"attachment_21108\" style=\"width: 1870px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2023\/10\/25141822\/confluence-data-center-server-vulnerability-2.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-21108\" class=\"wp-image-21108 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2023\/10\/25141822\/confluence-data-center-server-vulnerability-2.png\" alt=\"Caract\u00e9ristique principale de l'exploitation de CVE-2023-22515\" width=\"1860\" height=\"508\"><\/a><p id=\"caption-attachment-21108\" class=\"wp-caption-text\">Caract\u00e9ristique principale de l\u2019exploitation de la faille CVE-2023-22515 Confluence Data Center et Confluence Server <a target=\"_blank\" rel=\"nofollow noopener\">Source<\/a><\/p><\/div>\n<p>\u00a0<\/p>\n<p>Il convient de souligner que ce constat n\u2019est pas que th\u00e9orique. Des attaques r\u00e9elles ont d\u00e9j\u00e0 \u00e9t\u00e9 lanc\u00e9es. Une semaine apr\u00e8s que les informations relatives \u00e0 CVE-2023-22515 ont \u00e9t\u00e9 rendues publiques, l\u2019\u00e9quipe de Microsoft Threat Intelligence <a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1711871732644970856\" target=\"_blank\" rel=\"noopener nofollow\">a observ\u00e9<\/a> qu\u2019un groupe APT exploitait cette vuln\u00e9rabilit\u00e9.<\/p>\n<div id=\"attachment_21107\" style=\"width: 1196px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2023\/10\/25141813\/confluence-data-center-server-vulnerability-3.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-21107\" class=\"wp-image-21107 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2023\/10\/25141813\/confluence-data-center-server-vulnerability-3.png\" alt=\"L'\u00e9quipe de Microsoft Threat Intelligence avertit que la faille CVE-2023-22515 est exploit\u00e9e par Storm-0062 (alias DarkShadow, Oro0lxy)\" width=\"1186\" height=\"528\"><\/a><p id=\"caption-attachment-21107\" class=\"wp-caption-text\">L\u2019\u00e9quipe de Microsoft Threat Intelligence avertit que la faille CVE-2023-22515 est activement exploit\u00e9e. <a target=\"_blank\" rel=\"nofollow noopener\">Source<\/a><\/p><\/div>\n<p>\u00a0<\/p>\n<p>Comme nous l\u2019avons dit, cette vuln\u00e9rabilit\u00e9 qui concerne Confluence Data Center et Confluence Server est extr\u00eamement facile \u00e0 exploiter. Cela signifie que non seulement les cybercriminels d\u2019APT hautement qualifi\u00e9s peuvent l\u2019exploiter, mais que <a href=\"https:\/\/www.kaspersky.com\/blog\/social-engineering-cases\/48697\/\" target=\"_blank\" rel=\"noopener nofollow\">les d\u00e9butants qui s\u2019ennuient<\/a> peuvent aussi en tirer profit. Une <a href=\"https:\/\/github.com\/vulhub\/vulhub\/tree\/master\/confluence\/CVE-2023-22515\" target=\"_blank\" rel=\"noopener nofollow\">preuve de concept d\u2019exploitation de CVE-2023-22515<\/a> a aussi \u00e9t\u00e9 publi\u00e9e sur GitHub, tout comme un <a href=\"https:\/\/github.com\/Chocapikk\/CVE-2023-22515\" target=\"_blank\" rel=\"noopener nofollow\">script Python<\/a> pour une exploitation \u00e0 grande \u00e9chelle simple comme bonjour. Les cybercriminels n\u2019ont qu\u2019\u00e0 saisir la liste des adresses des serveurs cibl\u00e9s dans le script.<\/p>\n<h2>Comment prot\u00e9ger votre infrastructure contre CVE-2023-22515<\/h2>\n<p>Vous devez, dans la mesure du possible, mettre \u00e0 jour vos programmes Confluence Data Center ou Confluence Server et installer une version non vuln\u00e9rable (8.3.3, 8.4.3, 8.5.2) ou toute autre version ult\u00e9rieure de la m\u00eame section.<\/p>\n<p>Si vous ne pouvez pas installer la mise \u00e0 jour, nous vous conseillons d\u2019isoler les serveurs Confluence vuln\u00e9rables pour qu\u2019ils ne soient pas publiquement accessibles. Autrement dit, vous devez d\u00e9sactiver l\u2019acc\u00e8s depuis les r\u00e9seaux externes jusqu\u2019\u00e0 ce que la mise \u00e0 jour soit install\u00e9e.<\/p>\n<p>Si cela vous est impossible, une mesure interm\u00e9diaire qui permet de r\u00e9duire la menace consiste \u00e0 bloquer l\u2019acc\u00e8s aux pages de configuration. Vous trouverez plus de d\u00e9tails dans <a href=\"https:\/\/confluence.atlassian.com\/security\/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html\" target=\"_blank\" rel=\"noopener nofollow\">l\u2019alerte publi\u00e9e par Atlassian<\/a>. Il convient tout de m\u00eame de souligner que cette option ne remplace pas la mise \u00e0 jour de Confluence Data Center ou Confluence Server\u00a0: cette technique ne contrecarre que temporairement le vecteur d\u2019attaque connu.<\/p>\n<p>De plus, il est conseill\u00e9 aux entreprises qui utilisent Confluence Data Center et Confluence Server de v\u00e9rifier si cette vuln\u00e9rabilit\u00e9 a d\u00e9j\u00e0 \u00e9t\u00e9 exploit\u00e9e pour les attaquer. Voici certains \u00e9l\u00e9ments qui indiquent que la faille CVE-2023-22515 a \u00e9t\u00e9 exploit\u00e9e\u00a0:<\/p>\n<p>\u2022 De nouveaux membres suspects rejoignent le groupe <code> confluence-administrators<\/code>.<br>\n\u2022 De nouveaux comptes utilisateur ont \u00e9t\u00e9 cr\u00e9\u00e9s de fa\u00e7on inattendue.<br>\n\u2022 Des demandes <code>\/setup\/*.action<\/code> apparaissent dans les registres d\u2019acc\u00e8s du r\u00e9seau.<br>\n\u2022 Le code <code>\/setup\/setupadministrator.action<\/code> est pr\u00e9sent dans un message d\u2019exception dans le registre <code>atlassian-confluence-security.log<\/code> du r\u00e9pertoire de Confluence.<br>\nN\u2019oubliez pas qu\u2019il est peu probable que les cybercriminels exploitent la faille CVE-2023-22515 seulement pour prendre le contr\u00f4le de Confluence. Au contraire, ils vont certainement s\u2019en servir comme tremplin pour lancer d\u2019autres attaques sur les syst\u00e8mes informatiques de l\u2019entreprise.<\/p>\n<p>Installez une <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/endpoint-detection-response-edr?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solution EDR (Endpoint Detection and Response)<\/a> pour surveiller l\u2019activit\u00e9 suspecte au sein de l\u2019infrastructure de votre entreprise. Si votre \u00e9quipe interne de s\u00e9curit\u00e9 informatique manque de ressources, vous pouvez sous-traiter cette t\u00e2che et faire appel \u00e0 un <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/managed-detection-and-response?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">service externe<\/a> qui va constamment rechercher les menaces qui pourraient cibler votre entreprise et y r\u00e9pondre rapidement.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>Il est temps de mettre \u00e0 jour Confluence Data Center et Confluence Server. Ces programmes contiennent une vuln\u00e9rabilit\u00e9 critique qui permet de cr\u00e9er des comptes administrateur non autoris\u00e9s.<\/p>\n","protected":false},"author":2726,"featured_media":21112,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,9,3150,686],"tags":[4192,4191,204,790,61,322],"class_list":{"0":"post-21106","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-tips","9":"category-enterprise","10":"category-threats","11":"tag-atlassian","12":"tag-confluence","13":"tag-menaces","14":"tag-mises-a-jour","15":"tag-securite","16":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/confluence-data-center-server-vulnerability\/21106\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/confluence-data-center-server-vulnerability\/26524\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/21957\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/29224\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/confluence-data-center-server-vulnerability\/26802\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/26767\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/confluence-data-center-server-vulnerability\/29263\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/confluence-data-center-server-vulnerability\/36447\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/confluence-data-center-server-vulnerability\/49404\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/confluence-data-center-server-vulnerability\/21917\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/confluence-data-center-server-vulnerability\/30603\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/confluence-data-center-server-vulnerability\/27103\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/confluence-data-center-server-vulnerability\/32811\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/confluence-data-center-server-vulnerability\/32461\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=21106"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21106\/revisions"}],"predecessor-version":[{"id":21114,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21106\/revisions\/21114"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/21112"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=21106"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=21106"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=21106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}