No final de agosto, a Atlassian, a empresa responsável por ferramentas como Jira, Confluence e Hipchat, anunciou o lançamento de uma atualização para corrigir a vulnerabilidade CVE-2021-26084 em sua ferramenta wiki corporativa, Confluence. Desde então, os especialistas em segurança têm visto buscas generalizadas por servidores Confluence vulneráveis e tentativas de exploração ativa. Recomendamos que todos os administradores do Confluence Server o atualizem o mais rápido possível.
O que é o CVE-2021-26084?
O CVE-2021-26084 é uma vulnerabilidade no Confluence. Ele se origina do uso de Object-Graph Navigation Language (OGNL) no sistema de tags do Confluence. A vulnerabilidade permite a inserção de código OGNL e, portanto, a execução de código arbitrário em computadores com Confluence Server ou Confluence Data Center instalado. Em alguns casos, mesmo um usuário não autenticado pode explorar a vulnerabilidade (se a opção permitir que as pessoas se inscrevam para criar sua conta estiver ativa).
Atlassian considera esta vulnerabilidade crítica. Ele tem uma classificação de gravidade CVSS de 9,8 e várias proof-of-concepts para explorá-lo, incluindo uma versão que permite a execução remota de código (RCE), já estão disponíveis online.
Quais versões do Confluence são vulneráveis?
A situação é um pouco complicada. Os clientes da Atlassian usam diferentes versões do Confluence e não são conhecidos por realizar atualizações de forma tempestiva. De acordo com a descrição oficial da Atlassian, a empresa lançou patch para as versões 6.13.23, 7.4.11, 7.11.6, 7.12.5 e 7.13.0. Isso deixa o CVE-2021-26084 explorável nas versões do Confluence Server anteriores ao 6.13.23, do 6.14.0 ao 7.4.11, do 7.5.0 ao 7.11.6 e do 7.12.0 ao 7.12.5. Esta vulnerabilidade não afeta os usuários do Confluence Cloud.
Como se manter seguro
A Atlassian recomenda o uso da versão mais recente do Confluence, que é 7.13.0. Se isso não for uma opção, os usuários de versões 6.13.x são aconselhados a atualizar para 6.13.23; 7.4.x a 7.4.11, 7.11.x a 7.11.6 e 7.12.x a 7.12.5, respectivamente. A empresa também oferece várias soluções temporárias para soluções baseadas em Linux e Microsoft Windows, para aqueles que não conseguem realizar nem mesmo essas atualizações incrementais.
As máquinas que executam o Confluence são endpoints, assim como qualquer outro servidor. E, assim como qualquer outro servidor, eles precisam de uma boa solução de segurança para tornar a execução de código arbitrário significativamente mais difícil.
Além disso, lembre-se de que explorar a vulnerabilidade remotamente exigiria que os invasores entrassem na rede da empresa e especialistas com Managed Detection and Response – serviços de classe podem detectar esse tipo de atividade suspeita. Também é importante notar que o acesso ao Confluence deve ser restrito – ninguém de fora da empresa deve ter acesso aos serviços internos da empresa.