Governo faz alerta de hackers em soluções Atlassian em data centers

A plataforma de desenvolvimento de software e gerenciamento de projetos Atlassian identificou vulnerabilidade crítica que permite execução remota de código nos produtos “Confluence Server” e “Confluence Data Center” (CVE-2022-26134). O alerta é feito pelo Centro de Prevenção, Tratamento e Resposta à Incidentes Cibernéticos de Governo (CTIR Gov), que orienta à administração pública usuária da solução a mitigar o quanto antes o risco e aplicar os patches de segurança.

De acordo com o CTIR Gov, foram identificadas evidências de explorações ativas que comprometem sistemas afetados pela vulnerabilidade. A empresa disponibilizou correções para as versões 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 e 7.18.1.

A solicitação oficial orienta a identificação em seus ativos da existência dos produtos “Confluence Server” e “Confluence Data Center” da empresa Atlassian e realizem a devida atualização dos sistemas para as últimas versões disponibilizadas em:

https://www.atlassian.com/software/confluence/download-archives

E recomenda que, até que seja realizada a atualização dos sistemas, a implementação imediata das ações descritas na seção “Mitigation” constantes do link:

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA inclui essa vulnerabilidade de dia zero ao seu ‘Catálogo de Vulnerabilidades Exploradas Conhecidas’ e está exigindo que as agências federais bloqueiem todo o tráfego da internet para os servidores Confluence.

A existência do bug foi divulgada pela empresa americana de resposta a ameaças Volexity, que afirma ter descoberto a vulnerabilidade enquanto investigava um incidente que “incluía web shells JSP sendo gravados em disco”. Depois de realizar investigações, a empresa reproduziu a exploração na versão mais recente do Confluence Server e informou a Atlassian em 31 de maio.