Actualiza tu servidor de Confluence ahora

Los malhechores buscan servidores vulnerables de Confluence y explotan CVE-2021-26084, una vulnerabilidad de RCE

Al finales de agosto, Atlassian, la empresa detrás de herramientas como Jira, Confluence y Hipchat, anunció el lanzamiento de una actualización para arreglar la vulnerabilidad CVE-2021-26084 en su herramienta corporativa wiki, Confluence. Desde entonces, los expertos en seguridad han visto la expansión de búsquedas de servidores vulnerables de Confluence e intentos activos de explotación. Recomendamos a todos los administradores de los servidores de Confluence que actualicen lo antes posible.

¿Qué es CVE-2021-26084?

CVE-2021-26084 es una vulnerabilidad en Confluence. Se origina a partir del uso de Object-Graph Navigation Language (OGNL) en el sistema de etiquetas de Confluence. La vulnerabilidad permite la inyección de código OGNL, y, por lo tanto, la ejecución de código arbitrario en computadoras que tengan instalado el servidor de Confluence o Confluence Data Center. En algunos casos, incluso un usuario que no está autenticado puede explotar la vulnerabilidad (si la opción Permitir inicio de sesión para crear una cuenta está activa).

Atlassian considera esta vulnerabilidad crítica. Tiene una clasificación de gravedad de CVSS de 9.8, y varias pruebas de concepto para explotarla, incluida una versión que permite la ejecución remota de código (RCE), ya están disponibles en línea.

¿Qué versiones de Confluence son vulnerables?

La situación es un poco complicada. Los clientes de Atlassian utilizan versiones distintas de Confluence y se sabe que sus actualizaciones tienden a no ser oportunas. De acuerdo con la descripción oficial de Atlassian, la empresa liberó actualizaciones para las versiones 6.13.23, 7.4.11, 7.11.6, 7.12.5 y 7.13.0. Esto permite que CVE-2021-26084 pueda explotarse en las versiones del servidor de Confluence previas a 6.13.23, de 6.14.0 a 7.4.11, de 7.5.0 a 7.11.6 y de 7.12.0 a 7.12.5. Esta vulnerabilidad no afecta a los usuarios de Confluence Cloud.

Cómo mantenerse seguro

Atlassian recomienda utilizar la versión más reciente de Confluence, que es la 7.13.0. De no ser posible, se recomienda que los usuarios de las versiones 6.13.x actualicen a 6.13.23; 7.4.x a 7.4.11, 7.11.x a 7.11.6 y 7.12.x a 7.12.5, respectivamente. La empresa también ofrece varios métodos alternativos temporales para soluciones basadas en Linux y Microsoft Windows, para quienes no puedan ni siquiera hacer estas actualizaciones sugeridas.

Las máquinas que ejecutan Confluence son endpoints, como cualquier otro servidor. Y como cualquier otro servidor, necesitan de una buena solución de seguridad para que sea mucho más difícil ejecutar código arbitrario.

De igual manera, ten en mente que explotar la vulnerabilidad de manera remota requeriría que los atacantes entraran en la red de la empresa, y los expertos con servicios del tipo Managed Detection and Response pueden detectar este tipo de actividad sospechosa. También cabe destacar que el acceso a Confluence debe restringirse; nadie ajeno a la empresa debería tener acceso a los servicios internos de la empresa.

Consejos