Le géant australien du logiciel Atlassian est-il en pleine crise de sécurité? Selon un avertissement récent, une faille de sécurité critique pourrait entraîner une « perte de données significative » pour ses clients, et ce, quelques semaines seulement après que des pirates soutenus par un État ont ciblé ses produits. Comment cela est-il possible?
Dans une note d’information publieé cette semaine, la société a exhorté ses utilisateurs à patcher la faille en question qui affecte les versions sur site de Atlassian Confluence Data Center et Server. Un produit largement populaire, sous forme de système de wiki collaboratif, que les entreprises utilisent pour organiser et partager leur travail. Ce même produit a récemment été la cible de pirates soutenus par l’État chinois, qui ont exploité une autre vulnérabilité évaluée à 10,0 pour compromettre un « petit nombre » de clients d’Atlassian. Une situation inquiétante, n’est-ce pas ?
Cette dernière faille de sécurité, suivie sous le nom de CVE-2023-22518 et évaluée à 9,1 sur 10 sur le système de cotation de la gravité des vulnérabilités, est décrite comme une instance de « vulnérabilité d’autorisation incorrecte ». Atlassian a prévenu que cela pourrait entraîner une « perte de données importante si elle était exploitée par un attaquant non authentifié ».
« La faille pourrait entraîner une perte de données significative si exploitée par un attaquant non authentifié. »
La société n’a pas précisé comment cette faille pouvait entraîner une perte de données, et une porte-parole d’Atlassian, Ana Keltchina, n’a pas immédiatement répondu aux questions de TechCrunch. Cette absence de transparence est-elle inquiétante ?
Atlassian a indiqué qu’il n’y avait pas eu de signalements d’exploitation active à la date du 31 octobre et a déclaré qu’il n’y avait « aucun impact sur la confidentialité car un attaquant ne peut pas exfiltrer de données de l’instance ». Les sites d’Atlassian Cloud accessibles via un domaine atlassian.net ne sont également pas affectés par cette vulnérabilité, a précisé Atlassian. Une précision rassurante, non?
Les avertissements de l’entreprise incluaient un message du responsable de la sécurité d’Atlassian, Bala Sathiamurthy, qui affirmait que bien que la faille ne soit pas encore activement exploitée, les utilisateurs doivent prendre des « mesures immédiates » pour protéger leurs instances. Qu’en est-il de la responsabilité des utilisateurs dans cette situation ?
L’avertissement précise que toutes les versions accessibles au public du Confluence Data Center et du serveur « sont en risque critique et nécessitent une attention immédiate ». Atlassian a exhorté les administrateurs à passer à une version corrigée sans délai, et ajoute que si cela n’est pas possible, des mesures d’atténuation temporaires doivent être appliquées. Les instances accessibles à Internet, y compris celles disposant d’une authentification des utilisateurs, « doivent être restreintes pour empêcher un accès extérieur jusqu’à ce que vous puissiez les patcher », a ajouté l’entreprise.
Plus tôt ce mois-ci, Atlassian a annoncé son intention d’acquérir le service de messagerie vidéo Loom pour 975 millions de dollars. La société a déclaré qu’elle pense que Loom peut être un outil de collaboration utile pour sa plateforme, en particulier Jira et Confluence. Mais avec toutes ces failles de sécurité, peut-on vraiment se fier à Atlassian ?
Source : Techcrunch
