Numéro : AL22-008
Date : 3 juin 2022
Mise à jour : 3 juin 2022
Auditoire
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Vue d’ensemble
Le Centre pour la cybersécurité a été informé de l’exploitation d’une vulnérabilité (CVE-2022-26134) menant à l’exécution de code à distance dans les produits Confluence Server et Confluence Data Center Note de bas de page 1. Pour l’instant, aucun correctif n’a été diffusé et aucune mesure d’atténuation n’a été recommandée. Atlassian a signalé que les instances d’Atlassian Cloud ne sont pas touchées par cette vulnérabilité.
Détails
Le 2 juin 2022, Atlassian a publié le bulletin de sécurité 2022-06-02 qui fait mention d’une vulnérabilité récemment découverte dans ses produits Confluence Server et Confluence Data Center Note de bas de page 1. Il s’agit d’une vulnérabilité critique dont l’exploitation pourrait donner lieu à l’exécution de code à distance non authentifié. Atlassian a indiqué que toutes les versions prises en charge étaient touchées par cette vulnérabilité, mais il lui reste encore à déterminer qu’elle était la plus ancienne version touchée. Il est d’ailleurs probable que la vulnérabilité vise l’ensemble des versions.
Bien qu’on n’ait relevé aucun signe de preuve de concept, la société de cybersécurité Veloxity, qui a été la première à signaler l’activité malveillante, a observé une exploitation active des instances de Confluence par des auteurs malveillants, laquelle a mené au déploiement de code encoquillé, à des activités de reconnaissance et à une exfiltration de données Note de bas de page 2.
Mise à jour 1
Atlassian a mis à jour les versions touchées pour inclure toutes les versions après la version 1.3.0. De plus, des versions corrigées ont été diffusées par Atlassian.
Mesures recommandées
Le Centre pour la cybersécurité encourage les organisations ayant des produits Confluence Server et Confluence Data Product à effectuer une des actions suivantes :
- Mise à jour 1 : Mettre à niveau aux versions indiquées par Atlassian aussitôt que possible Note de bas de page 1.
- Si la mise à jour ne peut être faite immédiatement :
- empêcher les instances de Confluence Server et de Confluence Data Center d’accéder à Internet;
- désactiver les instances de Confluence Server et de Confluence Data Center.
Volexity a publié des indicateurs de compromission (IC) que les responsables de la défense réseau devraient passer en revue afin de reconnaître les signes d’exploitation. Si l’on détermine qu’un système a été touché, il est fortement recommandé de le déconnecter de tous les réseaux et de procéder à l’examen approfondi des systèmes réseau auxquels il est associé afin de relever toute compromission. Le Centre pour la cybersécurité recommande également aux organisations touchées d’adopter les stratégies d’atténuation décrites dans le bulletin de cybersécurité conjoint AR20-245A traitant des approches techniques à la détection et à l’atténuation des activités malveillantes Note de bas de page 3.
Comme il n’a pas vérifié les détails techniques mentionnés dans la divulgation en question, le Centre pour la cybersécurité fournit la présente information telle quelle à des fins de sensibilisation et de prise de mesures potentielles. Avant de mettre en œuvre l’une des recommandations susmentionnées, il conviendra pour les organisations de vérifier l’incidence possible sur ses services et ses environnements en réseau.
S’ils relèvent des activités similaires aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).