10 septembre 2021

La CVE 2021-26084 affectant Atlassian Confluence scannée massivement

« Créez, collaborez et organisez tout votre travail en un seul endroit ». Telle est la phrase résumant Confluence de son éditeur, un espace de travail d’équipe où la connaissance et la collaboration se rencontrent. Les pages dynamiques offrent aux utilisateurs un endroit pour créer, capturer et collaborer sur n’importe quel projet ou idée. Seulement, des chercheurs ont découvert un autre usage pour cet outil.

Vulnérabilité

Le 25 août 2021, Atlassian a publié un avis de sécurité sur une nouvelle vulnérabilité critique affectant Confluence.  Répertoriée sous le nom de CVE-2021-26084, il s’agit d’une exécution de code arbitraire à distance qui est considéré comme un risque de sécurité critique par l’éditeur. La faille, qui a reçu une note de 9,8 sur l’échelle CVSS, est due à un problème d’injection dans le langage de navigation objet-graphique (OGNL), découvert et signalé par le chercheur en sécurité Benny Jacob dans le cadre du programme de bug bounty d’Atlassian.

Figure 1 : Versions affectées

Dans les versions affectées de Confluence Server et Data Center, il existe une vulnérabilité d’injection OGNL qui permettait à un utilisateur authentifié, et dans certains cas à un utilisateur non authentifié, d’exécuter du code arbitraire sur une instance de Confluence Server ou Data Center. Un utilisateur non-administrateur ou un utilisateur non authentifié peut accéder aux points de terminaison vulnérables si l’option « Allow people to sign up to create their account » est activée :

Figure 2 : Option permettant à tout utilisateur de se créer un compte

Preuve de concept

De multiples preuves de concept (PoC) ont été publiées publiquement démontrant comment exploiter cette vulnérabilité après la rétro-ingénierie du patch par deux chercheurs en cybersécurité. Ainsi, de nombreux groupes de cybercriminels scannent Internet pour identifier des serveurs vulnérables afin d’en prendre le contrôle.

Ainsi, ce point d’entrée va potentiellement permettre de se répandre au sein du réseau d’entreprise et/ou de chiffrer les données accessibles.

Prenons le cas d’un serveur où il est possible de créer un compte.

Figure 3 : Fenêtre d’authentification avec option de création de comptes

Comme spécifié, la vulnérabilité réside dans OGNL (Object-Graph Navigation Language), un langage de script simple pour interagir avec le code Java, la technologie sous-jacente dans laquelle la plupart des logiciels Confluence ont été écrits. Une requête POST à destination de https://<confluence_server>/pages/doenterpagevariables.action avec des données permettant de sortir du contexte va permettre d’obtenir une évaluation non authentifiée d’une expression ONGL :

Figure 4: Charge utile permettant d’obtenir une évaluation non authentifiée d’une expression ONGL

Les chercheurs ont ensuite trouvé comment contourner les méthodes censées protéger de l’exécution du code. Une première charge utile a été publiée permettant d’exécuter du code sur un serveur Linux. Les exploits ont ensuite commencé à affluer, permettant de vérifier sous quel système d’exploitation est installé Confluence, afin de devenir « universel ». Voici un exemple de ce type de charge utile :

Figure 5 : Exploit universel pour la CVE Confluence

La valeur cmd est à remplacer par la commande à exécuter sur le serveur.

Après la théorie, la pratique :

Figure 6 : Preuve de concept sur une application Confluence locale

Correctifs

Troy Mursch, directeur de la recherche chez Bad Packets, fournisseur de renseignements sur les menaces, a confirmé que la CVE-2021-26084 était désormais ciblée dans la nature :

Figure 7 : Tweet de Bad Packets à propos de la CVE-2021-26084

Compte tenu du niveau de balayage de l’activité d’exploitation qui a été détectée jusqu’à aujourd’hui, tout serveur non patché présente un risque immédiat de compromission.

Les administrateurs sont priés de mettre à jour toutes les versions on-premise du logiciel, car cette vulnérabilité est activement exploitée. La vérification d’indicateurs de compromission est par ailleurs vivement recommandée (vérification des logs et des fichiers suspects). Une liste est d’ores et déjà disponible. Les versions hébergées dans le cloud de Confluence Server ne sont pas vulnérables à l’attaque, a déclaré Atlassian.

10 septembre 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *