Numéro : AL19-007
Date : 29 avril 2019
Public
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI. Les destinataires de la présente information peuvent la redistribuer sans aucune restriction.
Objectif
Une ALERTE a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Le Centre pour la cybersécurité offre également, à la demande des destinataires, une assistance additionnelle concernant la teneur de la présente ALERTE.
Évaluation
Le Centre pour la cybersécurité a été informé d’occurrences, ces dernières semaines, d’exploitation active des serveurs et des centres de données Confluence d’Atlassian. Des experts ont été en mesure de relever des campagnes ciblées contre des secteurs d’installations gouvernementales qui profitent de nombreuses vulnérabilités.
Les occurrences d’exploitation profiteraient des vulnérabilités connues suivantes :
CVE-2019-3395 : Un auteur malveillant peut exploiter à distance une vulnérabilité de falsification de requête côté serveur (SSRF) du plugiciel WebDAV pour envoyer des requêtes arbitraires HTTP et WebDAV.
CVE-2019-3396 : Une vulnérabilité d’injections de modèle côté serveur de la macro Widget Connector (connecteur de gadget logiciel) permet à un auteur malveillant d’exécuter à distance du code arbitraire.
CVE-2019-3398 : Une vulnérabilité de traversée de chemin de la ressource « downloadallattachments » permet à un auteur malveillant ayant des droits d’accès spécifiques d’écrire des fichiers dans des endroits arbitraires, ce qui pourrait mener à l’exécution de code à distance. Un utilisateur authentifié aurait besoin de l’un des droits d’accès suivants pour exécuter la vulnérabilité :
- Ajout de pièces jointes à des pages ou à des blogues
- Création d’un nouvel espace ou d’un espace personnel
- Droits d’accès administrateur pour un espace
Mesures suggérées
Le Centre pour la cybersécurité recommande d’appliquer au serveur ou au centre de données Confluence les mises à jour suivantes ou plus récentes :
- 6.6.13
- 6.12.4
- 6.13.4
- 6.14.3
- 6.15.2
S’il n’est pas possible d’appliquer les correctifs à une version d’un serveur Confluence, le Centre pour la cybersécurité recommande de prendre le plus rapidement possible les mesures d’atténuation supplémentaires suivantes fournies par Atlassian.
Documents de référence
Bulletin de sécurité Atlassian pour CVE-2019-3395 et CVE-2019-3396 : https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html
Bulletin de sécurité Atlassian pour CVE-2019-3398 : https://confluence.atlassian.com/doc/confluence-security-advisory-2019-04-17-968660855.html
Note aux lecteurs
Le Centre pour la cybersécurité mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.