Bulletin d’alerte :
Multiples RCE chez Atlassian

Versions concernées :

• Application Atlassian Companion pour MacOS 2.0.0 ou version ultérieure
• Automation for Jira (A4J) Marketplace App 9.0.2 et 8.2.4
• Bitbucket Data Center and Server 7.21.16 (LTS), 8.8.7, 8.9.4 (LTS), 8.10.4, 8.11.3, 8.12.1, 8.13.0, 8.14.0, 8.15.0 (Data Center Only), et 8.16.0 (Data Center Only)
• Confluence Cloud Migration App (CCMA) 3.4.0
• Confluence Data Center et server 7.19.17 (LTS), 8.4.5 et 8.5.4 (LTS)
• Jira Core Data Center and Server, Jira Software Data Center and Server 9.11.2, 9.12.0 (LTS), et 9.4.14 (LTS)
• Jira Service Management Cloud (Assets Discovery) 3.2.0 ou version ultérieure, et Jira Service Management Data Center and Server (Assets Discovery) 6.2.0 ou version ultérieure.
• Jira Service Management Data Center and Server 5.11.2, 5.12.0 (LTS), and 5.4.14 (LTS)

Détails :

Atlassian a publié le 05 décembre dernier des avis de sécurité concernant quatre vulnérabilités critiques d’exécution de code à distance (RCE) affectant Confluence, Jira, Bitbucket, et une application Companion pour macOS. Ces failles, jugées critiques avec des scores CVSSv3 de sévérité d’au moins 9.0 sur 10, soulignent l’urgence pour les administrateurs système de mettre à jour leurs systèmes.

• CVE-2022-1471 (Score CVSS : 9.8) : Vulnérabilité de désérialisation dans la bibliothèque SnakeYAML qui peut conduire à l’exécution de code à distance dans plusieurs produits dont Automation for Jira, Bitbucket, Confluence et Jira.

NB: Les sites dans le cloud Atlassian ne sont pas concernés par cette vulnérabilité.

• CVE-2023-22522 (Score CVSS : 9.0) : Vulnérabilité d’exécution de code à distance dans Confluence Data Center et Confluence Server. Toutes les versions sont affectées à partir de la 4.0.0 inclus.

NB: Les sites dans le cloud Atlassian ne sont pas concernés par cette vulnérabilité.

• CVE-2023-22523 (Score CVSS : 9.8) : Vulnérabilité d’exécution de code à distance dans Assets Discovery pour Jira Service Management Cloud, Server, et Data Center. Toutes les versions sont affectées jusqu’à 3.2.0-cloud / 6.2.0 data center and server.
• CVE-2023-22524 (Score CVSS : 9.6) – Vulnérabilité d’exécution de code à distance uniquement dans l’application Atlassian Companion pour macOS. Toutes les versions sont affectées jusqu’à la 2.0.0.

NB: L’application Atlassian Companion pour Windows n’est pas concernée.

Détection :

Actuellement, il n’y a pas eu d’observation d’exploitation active de ces vulnérabilités. En l’absence de communication des détails techniques par l’éditeur, aucun Proof of Concept ne semble avoir été rendu publique pour le moment.

Par ailleurs, à ce stade, aucune règle ET Pro n’est encore disponible. Il est probable que cette situation évolue dès que les détails techniques seront communiqués.

Correction :

L’éditeur a d’ores et déjà mis à disposition les correctifs nécessaires pour l’ensemble des applications concernées. Il est donc vivement recommandé de procéder à une mise à jour des composants. Pour rappel, de précédentes vulnérabilités impactant l’éditeur, telles que la CVE-2021-26084 ou encore la CVE-2023-22515, ont déjà été massivement exploitées par les acteurs de la menace.

En cas de questionnements supplémentaires, l’éditeur Atlassian a également mis à disposition une FAQ détaillée pour chaque vulnérabilité signalée :

• CVE-2022-1571
• CVE-2023-22522
• CVE-2023-22523
• CVE-2023- 22524