El 2 de junio, Atlassian publicó un aviso para CVE-2022-26134, una vulnerabilidad de ejecución remota de código de día cero en Confluence Server and Data Center.
¿Qué es Confluence?
Es una plataforma de gestión de trabajo colaborativo diseñada para compartir, almacenar y trabajar en diferentes proyectos. Desarrollado por Atlassian, empresa conocida también por Jira; software para tracking de issues.
Según Volexity, la vulnerabilidad da como resultado un RCE completo no autenticado, lo que permite que un atacante se haga cargo por completo de la aplicación de destino.
Las explotaciones activas de esta vulnerabilidad aprovechan las inyecciones de comandos utilizando cadenas especialmente diseñadas para cargar un archivo malicioso en la memoria, lo que permite a los atacantes plantar posteriormente un webshell en la máquina de destino con la que pueden interactuar.
Atlassian le otorgó una calificación crítica. Según las calificaciones del nivel de gravedad de Atlassian, esta vulnerabilidad se ubica entre un CVSSv3 de 9.0 a 10.0.
Con base en evidencias publicadas por ejemplo por Cloudflare, un atacante podría explotar esta falla enviando una solicitud especialmente diseñada a una instancia vulnerable de Confluence Server o Data Center a la que se puede acceder públicamente a través de Internet.
¿Qué hacer para protegernos?
Las organizaciones que usan Confluence Server y Data Center pueden considerar las siguientes opciones para mitigar esta amenaza:
Atlassian recomienda actualizar a la última versión. Versiones corregidas 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 y 7.18.1
Si no es posible realizar la actualización esto es lo que puede hacer:
- Restrinja las instancias de Confluence Server y Data Center desde Internet (por ejemplo, detrás de una VPN)
- Deshabilitar las instancias de Confluence Server y Data Center
Cyberseguridad Solutions © 2022
