Les 12 vulnérabilités les plus fréquemment exploitées en 2022 (3)
Related: Les 12 vulnérabilités les plus fréquemment exploitées en 2022 (2)
Les 12 vulnérabilités les plus fréquemment exploitées en 2022 (3) - Système d'intelligence open source Knowlesys
Académie OSINT
Les 12 vulnérabilités les plus fréquemment exploitées en 2022 (3)
En rapport:
Les 12 vulnérabilités les plus fréquemment exploitées en 2022 (2)
7–8.Atlassian Confluence Server & Data Center (CVE-2021-26084, CVE-2022-26134)
Atlassian Confluence, une plate-forme de collaboration et de documentation utilisée par de nombreuses organisations gouvernementales et du secteur privé, est également très favorisée par les acteurs de la menace.Les deux vulnérabilités présélectionnées, CVE-2021-26084 et CVE-2022-26134, sont toutes deux liées à l'injection du langage de navigation du graphique d'objet (OGNL).
La première exploitation à grande échelle de CVE-2021-26084 s'est produite en septembre 2021 et a ciblé le service de documents Web populaire.La plate-forme Confluence est conçue pour permettre à plusieurs équipes de collaborer sur des projets partagés.Un acteur malveillant pourrait utiliser la vulnérabilité d'injection de commande CVE-2021-26084 pour exécuter du code arbitraire sur un serveur de confluence ou une instance de centre de données.Les attaquants ont essentiellement les mêmes privilèges que l'utilisateur exécutant le service et sont donc en mesure d'exécuter n'importe quelle commande, de gagner des privilèges administratifs élevés et d'établir un pied dans l'environnement.CISA a publié un avis qui dirige les utilisateurs et les administrateurs pour vérifier les mises à jour d'Atlassian afin d'éviter les compromis.
Neuf mois plus tard, Atlassian a publié une autre vulnérabilité d'injection OGNL contre les serveurs et centres de données Confluence.Suivi en CVE-2021-26134, la vulnérabilité permet à un attaquant non authentifié d'exécuter du code arbitraire dans toutes les versions de centre de données Confluence pris en charge et de serveur.Une fois une preuve de concept (POC) publié dans la semaine suivant la divulgation initiale, cette vulnérabilité de niveau critique est rapidement devenue l'une des plus exploitées.Dans ce cas, le CVE-2021-26134 a été utilisé pour implémenter un RCE non authentifié sur un serveur, puis jeter un shell Web derrière.Le shell web derrièreur permet aux acteurs malveillants des fonctionnalités très puissantes, telles que l'interaction avec Meterpreter et Cobalt Strike et un shell Web uniquement en mémoire.
Selon le site Web d'Atlassian, la société prend en charge 83% des sociétés du Fortune 500, compte 10 millions d'utilisateurs actifs par mois et compte plus de 235 000 utilisateurs dans plus de 190 pays.Ces deux CVE basés sur les atlassiens démontrent à quel point les acteurs de menace motivés financièrement continuent d'exploiter les vulnérabilités pour attaquer simultanément de nombreuses cibles attractives.