vulnerabilidades
A finales de agosto, Atlassian, la compañía fabricante de herramientas como Jira, Confluence o Hipchat, anunció el lanzamiento de una actualización para corregir la vulnerabilidad CVE-2021-26084 en su herramienta wiki corporativa: Confluence. Desde entonces, los expertos en seguridad se han encontrado con búsquedas generalizadas de servidores Confluence vulnerables e intentos de explotación activos. Recomendamos a todos los administradores de Confluence Server que actualicen lo antes posible.
¿Qué es la CVE-2021-26084?
La CVE-2021-26084 es una vulnerabilidad en Confluence que se origina en el uso del lenguaje de navegación de gráficos de objetos (OGNL por sus siglas en inglés) en el sistema de etiquetas de Confluence. La vulnerabilidad permite la inyección de código OGNL y, por tanto, la ejecución de código arbitrario en ordenadores con Confluence Server o Confluence Data Center instalados. En algunos casos, incluso un usuario que no está autentificado puede aprovechar la vulnerabilidad (si la opción Permitir que las personas se registren para crear su cuenta está activa).
Atlassian considera que esta vulnerabilidad es crítica. Tiene una clasificación de gravedad CVSS de 9,8 y ya están disponibles online varias pruebas de concepto para explotarla, incluida una versión que permite la ejecución remota de código (RCE por sus siglas en inglés).
¿Qué versiones de Confluence son vulnerables?
La situación es un poco complicada. Los clientes de Atlassian usan diferentes versiones de Confluence y no son conocidos por realizar las actualizaciones oportunas. Según la descripción oficial de Atlassian, la empresa ha publicado actualizaciones para las versiones 6.13.23, 7.4.11, 7.11.6, 7.12.5 y 7.13.0. Eso permite la explotación de la CVE-2021-26084 en las versiones de Confluence Server anteriores a 6.13.23, de 6.14.0 a 7.4.11, de 7.5.0 a 7.11.6 y de 7.12.0 a 7.12.5. Esta vulnerabilidad no afecta a los usuarios de Confluence Cloud.
Cómo mantenerse a salvo
Atlassian recomienda usar la versión más reciente de Confluence: 7.13.0. Si esa no es una opción, se recomienda a los usuarios de las versiones 6.13.x que actualicen a 6.13.23, 7.4.x a 7.4.11, 7.11.x a 7.11.6 y 7.12.x a 7.12.5, respectivamente. La compañía también ofrece varias soluciones temporales para las soluciones basadas en Linux y Microsoft Windows, para aquellos que no puedan realizar ni siquiera esas actualizaciones.
Las máquinas que ejecutan Confluence son endpoints, como cualquier otro servidor. Y, al igual que cualquier otro servidor, necesitan una buena solución de seguridad para conseguir que la ejecución de código arbitrario sea mucho más difícil.
Además, ten en cuenta que explotar la vulnerabilidad de forma remota requeriría que los atacantes accedan a la red de la empresa, y los expertos con servicios de clase Managed Detection and Response pueden detectar ese tipo de actividad sospechosa. También vale la pena señalar que el acceso a Confluence debe estar restringido; nadie fuera de la empresa debe tener acceso a los servicios internos de la compañía.
