CVE-2021-26084 é uma vulnerabilidade nas implantações do Atlassian Confluence no Windows e Linux. A falha é crítica, e foi explorado para implantar shells da web, causando a execução de mineradores de criptomoeda em sistemas vulneráveis.
CVE-2021-26084: Vulnerabilidade crítica de confluência Atlassian
De acordo com a análise da Zero Day Initiative da Trend Micro, o problema está relacionado a uma linguagem de navegação de gráfico de objeto (OGNL) injeção no módulo Webwork do Atlassian Confluence Server e Data Center. A vulnerabilidade pode ser aproveitada por atacantes remotos enviando solicitações HTTP elaboradas com um parâmetro malicioso para um servidor vulnerável. Isso poderia levar à execução arbitrária de código “no contexto de segurança do servidor afetado.”
O que é Atlassian Confluence?
Atlassian Confluence é uma plataforma de colaboração escrita principalmente em Java e rodando em um servidor de aplicativos Apache Tomcat empacotado. A plataforma ajuda os usuários a criar conteúdo usando espaços, Páginas, e blogs que outros usuários podem comentar e editar. Por padrão, O Confluence pode ser acessado via HTTP na porta 8090 / TCP, Trend Micro observou.
Quanto à vulnerabilidade, ele reside no módulo Webwork do Atlassian Confluence Server e Data Center. O problema vem de uma validação insuficiente da entrada fornecida pelo usuário, fazendo com que o analisador avalie comandos invasores injetados nas expressões OGNL.
No início deste mês, os EUA. O Cyber Command emitiu alertas sobre a exploração em massa do CVE-2021-26084, seguido pela divulgação pública da falha em agosto.
Para detectar este ataque, as partes afetadas devem monitorar todas as solicitações de tráfego HTTP, onde o componente do caminho do URI de solicitação contém uma das strings na coluna “caminho do URI” de uma tabela apresentada no relatório.
Em julho, outra falha crítica na plataforma Atlassian, em várias versões de seus produtos Jira Data Center e Jira Service Management Data Center, Foi revelado. A plataforma de engenharia de software é usada por 180,000 clientes que estavam em perigo por controle remoto, ataques não autenticados. O bug foi rastreado como CVE-2020-36239.