Détection CVE-2022-26134 : Vulnérabilité Zero-Day d’Atlassian Confluence

Les adversaires lancent des attaques qui font la une des journaux contre des serveurs Confluence vulnérables dans le monde entier. Atlassian alerte ses utilisateurs des risques de sécurité associés à une faille RCE détectée dans toutes les versions prises en charge de Confluence (Serveur et Centre de Données). Le bug est suivi sous le code CVE-2022-26134, avec le fournisseur le classant au niveau de gravité le plus élevé. Au 3 juin 2022, il n’y a pas de correctifs pour réparer cette vulnérabilité dans le wiki d’entreprise d’Atlassian.

Détecter CVE-2022-26134

Pour empêcher cette exploitation zero-day de causer des dommages significatifs à votre système, utilisez les règles Sigma suivantes publiées par une équipe d’ingénieurs en chasse aux menaces passionnés de SOC Prime:

Exécution possible par activité post-exploitation à partir de la vulnérabilité CVE-2022-26134 (via cmdline)

Modèles possibles d’injections de commandes OS (via web)

Processus enfant Java suspect (via cmdline)

Un autre kit de règles de 2020 que nos analystes en sécurité jugent utile :

Modèles possibles d’injections de commandes OS (via web)

Les utilisateurs non enregistrés peuvent parcourir la collection de règles Sigma disponibles via le moteur de recherche – un guichet unique pour le renseignement sur les menaces et le contenu SOC. Appuyez sur le bouton Explorer dans le moteur de recherche pour faire passer votre routine de détection à un niveau supérieur.

Une autre option qui ouvre plus de possibilités est de s’enregistrer sur la plateforme SOC Prime et d’obtenir un plan d’abonnement Communauté gratuit. Cliquez sur le bouton Voir dans la plateforme SOC Prime pour accéder à une collection exhaustive d’algorithmes de détection pour de multiples vulnérabilités zero-day alignées avec plus de 25 solutions SIEM, EDR et XDR.

Voir dans la plateforme SOC Prime Explorer dans le moteur de recherche

Description de CVE-2022-26134

La vulnérabilité dans Confluence a d’abord été repérée par Volexity tout récemment, lors d’un week-end de Memorial Day. Selon les chercheurs, les acteurs de menace ont exploité la vulnérabilité d’injection zero-day pour acquérir un accès complet au système et implanter le web shell Behinder pour d’autres actions malveillantes.

En raison de l’absence d’un correctif, Atlassian recommande que les administrateurs interdisent l’accès externe aux serveurs Confluence. Actuellement, il n’y a pas de données sur les serveurs hébergés en cloud touchés par cette faille de sécurité.

En août dernier, la société a révélé un autre bug critique dans son produit qui permettait aux utilisateurs non authentifiés d’exécuter du code arbitraire sur des appareils avec Confluence Server ou Confluence Data Center installé. La faille d’injection a été attribuée à CVE-2021-26084.

SOC Prime élargit continuellement le support des outils et technologies d’analytique de sécurité, enrichissant les capacités de détection pour les plateformes SIEM, EDR et XDR de nouvelle génération, et assurant des solutions pérennes et rentables pour les professionnels SOC dans le monde entier. En savoir plus sur ce que nous avons à offrir pour améliorer la détection.