This post is also available in: Português
Os cibercriminosos estão explorando uma vulnerabilidade de dia zero no Atlassian Confluence. Os ataques envolvem a instalação de shells da Web para obter a execução remota de código.
O Confluence é uma wiki corporativa, desenvolvida pela empresa de software australiana Atlassian (empresa de software que desenvolve produtos para desenvolvedores de software, gerentes de projeto e outras equipes de desenvolvimento de software). A empresa escreveu o Confluence na linguagem de programação Java e o publicou pela primeira vez em 2004.
A vulnerabilidade, rastreada como CVE-2022-26134, é semelhante ao CVE-2021-26084, uma outra falha de segurança que a empresa corrigiu em agosto de 2021.
Ambas estão relacionadas a um caso de injeção de código (OGNL) que pode ser explorada para obter a execução de código arbitrário em uma instancia do Confluence Server ou Data Center.
A descoberta e exploração do dia zero
Segundo pesquisadores, a vulnerabilidade foi descoberta no final de semana do Memorial Day, durante a execução da resposta a incidentes. Eles reproduziram o exploit e o divulgaram para a Atlassian em 31 de maio.
Recentemente, a Atlassian lançou um comunicado de segurança, onde fornecia detalhes sobre a falha de dia zero. A vulnerabilidade foi confirmada pela Atlassian na versão Confluence Server 7.18.0 e Confluence Server e Data Center 7.4.0 e superior.
Acredita-se que vários invasores chineses estejam usando essas explorações.
Além disso, a CISA adicionou esse dia zero ao seu Catalogo de Vulnerabilidades Exploradas Conhecidas, e pediu às agencias federais que bloqueiem todo o tráfego da Internet para seus servidores Confluence.
Atlassian lança atualização de segurança
Na última sexta, a Atlassian lançou atualizações de segurança para corrigir a vulnerabilidade.
É recomendado que o patch seja instalado para corrigir a vulnerabilidade de segurança nos servidores Confluence ou Data Center imediatamente, antes que os cibercriminosos os comprometam.
Se por algum motivo não for possível corrigir seus servidores imediatamente, a Atlassian forneceu mitigações para o Confluence 7.0 até a versão 7.18.0.
Como os servidores Confluence são um alvo atraente para acesso inicial a uma rede corporativa, os dispositivos devem ser atualizados imediatamente, atenuados ou colocados offline.
Não fazer isso acabará levando a ataques mais significativos, incluindo implantação de ransomware e roubo de dados.
This post is also available in: Português