В Confluence нашли серьёзную уязвимость, которую активно эксплуатируют хакеры

Уязвимость CVE-2021-26084 связана с использованием языка Object-Graph Navigation Language (OGNL) в системе тегов. Она позволяет внедрить и исполнить произвольный код на OGNL на устройствах с Confluence Server или Confluence Data Center. В случае, если в Confluence включена опция Allow people to sign up to create their account, эксплуатировать ее может даже неавторизованный пользователь.

Atlassian присвоила уязвимости рейтинг 9,8 и статус критической. Более того, в сети уже появилось несколько демонстраций использования этой уязвимости, в том числе вариант с удалённым исполнением кода.

🚨 Confluence exploitation in the wild 🚨

C2 — http[:]//213.152.165[.]29
⬇️ — `certutil -urlcache` to download http[:]//213.152.165.29/vmicguestvs.dll
📂- Files save in `C:\Users\public\`
🔗 — https://t.co/Oy4TA1yAFs #ThreatIntel https://t.co/LxJbzGVGy9 pic.twitter.com/4MXnffkBVp

— Colin 👨🏼‍💻 (@th3_protoCOL) September 2, 2021

О проблеме стало известно ещё 27 июля, исправление разработчики выпустили 25 августа. Пользователям рекомендуется не откладывать обновление серверов.

Патчи вышли для версий 6.13.23, 7.4.11, 7.11.6, 7.12.5 и 7.13.0, то есть в зоне риска остаются версии, предшествующие 6.13.23, а также версии 6.14.0 — 7.4.11, 7.5.0 — 7.11.6 и 7.12.0 — 7.12.5. Пользователей Confluence Cloud проблема не затрагивает. Компания советует всем переходить на самую свежую версию Confluence — клиенты нередко пренебрегают этим, поскольку даже более ранние функционируют нормально — и предлагает несколько обходных путей для Linux и Windows, если по каким-то причинам сделать это невозможно.