Una vulnerabilidad crítica en el software de colaboración en equipo de Atlassian, Confluence, está siendo utilizada recientemente en campañas activas de escaneo y explotación.
El fallo de seguridad afecta a las versiones on-premise Confluence Server y Confluence Data Center, y ha sido identificado como CVE-2021-26084. La vulnerabilidad radica en la tecnología OGNL (Object-Graph Navigation Language), un lenguaje de scripting que interactúan con el código fuente Java, sobre el cual se encuentra desarrollado la gran mayoría del software Confluence.
Según lo expuesto por el fabricante, el fallo puede ser explotado por actores de amenaza para evadir autenticación e inyectar comandos maliciosos OGNL, tomando control total del servidor y ocasionando así un compromiso total. Por ello, dicha vulnerabilidad recibió un score CVSS de 9.8 sobre 10, dado que es explotable a nivel de red y la complejidad de replicar el fallo es baja (RCE – Remote Code Execution), tomando en cuenta que ya existen exploits publicados en Internet.
Explotación Activa detectada
El pasado 31 de agosto, el investigador de seguridad vietnamita Tuan Ahn Nguyen reportó la existencia de escaneos masivos a servidores Confluence, en búsqueda de instancias vulnerables. Luego de estos reportes, los investigadores Rahul Maini y Harsh Jaiswal publicaron una explicación en detalle del fallo de seguridad, incluyendo varias pruebas de concepto.
Versiones afectadas
- Versiones 6.13.X menores a 6.13.23.
- Versiones 6.X mayores o iguales a 6.14.0, y menores a 7.4.11.
- Versiones 7.X mayores o iguales a 7.5.0, y menores a 7.11.5.
- Versiones 7.X mayores o iguales a 7.12.0, y menores a 7.12.5.
Remediación
Se recomienda los administradores de servidores Confluence ejecutar las acciones correctivas indicadas por el fabricante: actualizar sus instancias on-premise a las siguientes versiones:
- 6.13.23
- 7.4.11
- 7.11.6
- 7.12.5
- 7.13.0
Referencias: