টাটকা প্রুফ-অফ-কনসেপ্ট (PoC) শোষণগুলি ব্যাপকভাবে টার্গেট করা আটলাসিয়ান কনফ্লুয়েন্স ডেটা সেন্টার এবং কনফ্লুয়েন্স সার্ভারের ত্রুটির জন্য বন্য অঞ্চলে প্রচারিত হচ্ছে৷ নতুন অ্যাটাক ভেক্টর একটি দূষিত অভিনেতাকে ফাইল সিস্টেম স্পর্শ না করেই কনফ্লুয়েন্সের মেমরির মধ্যে নির্বিচারে কোড চালাতে সক্ষম করতে পারে।
VulnCheck-এর গবেষকরা এর জন্য শোষণগুলি ট্র্যাক করছেন CVE-2023-22527 রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতা, যা জানুয়ারিতে প্রকাশিত হয়েছিল। CVE তখন থেকে "দূষিত কার্যকলাপের কেন্দ্রস্থল" হয়ে উঠেছে তারা উল্লেখ করেছে, VulnCheck বর্তমানে আরও সাম্প্রতিক বিকল্পগুলি সহ দুর্বলতার জন্য 30টি অনন্য ইন-দ্য-ওয়াইল্ড শোষণকে ট্র্যাক করছে।
সঙ্গমের বিরুদ্ধে বেশিরভাগ আক্রমণ "কুখ্যাত" লোড করে গডজিলা ওয়েব শেল. গডজিলা আক্রমণকারীদের দূরবর্তীভাবে আপস করা সার্ভারকে নিয়ন্ত্রণ করতে, নির্বিচারে আদেশ কার্যকর করতে, ফাইলগুলি আপলোড এবং ডাউনলোড করতে, ডাটাবেস ম্যানিপুলেট করতে এবং অন্যান্য দূষিত ক্রিয়াকলাপ সম্পাদন করতে দেয়।
একটি নতুন পদ্ধতি, যদিও, একটি ইন-মেমরি পেলোড ব্যবহার করছে। সেই কৌশলটি ব্যবহার করে ইন-দ্য-ওয়াইল্ড PoCs স্পট করার পরে, VulnCheck গবেষকরা ইন-মেমরি পদ্ধতির সীমা পরীক্ষা করার জন্য তাদের নিজস্ব তিনটি PoC তৈরি করেছেন।
কার্যকলাপের ঝাঁকুনি কাউকে অবাক করা উচিত নয়: VulnCheck CTO জ্যাকব বেইনস বলেছেন তিনি মনে করেন আক্রমণকারীরা সঙ্গম টার্গেট করতে ভালোবাসে অ্যাপ্লিকেশনের মধ্যে উপলব্ধ ব্যবসায়িক তথ্যের সম্পদের কারণে, যা এটিকে একটি অভ্যন্তরীণ নেটওয়ার্কে একটি "ভাল পিভট" করে তোলে।
"এই টার্গেটকে কাজে লাগানোর মাধ্যমে, আপনি ব্যবসার নির্দিষ্ট যুক্তি সহ একটি অন-প্রিম সংস্করণ পাচ্ছেন," তিনি বলেছেন। "এটি বিশেষ করে ransomware আক্রমণকারীদের জন্য বেশ আকর্ষণীয়।"
আটলাসিয়ান সঙ্গম শোষণের জন্য ইন-মেমরি ওয়েব শেল
As VulnCheck এর ব্লগ পোস্ট বিস্তারিত, “রোমে পৌঁছানোর একাধিক উপায় আছে। আরও গোপন পথ বিভিন্ন সূচক তৈরি করে। বিশেষ আগ্রহের বিষয় হল ইন-মেমরি ওয়েব শেল, যার একটি পূর্ব-বিদ্যমান বৈকল্পিক ছিল … যা বন্য অঞ্চলে স্থাপন করা হয়েছে বলে মনে হচ্ছে।"
বেইনস ব্যাখ্যা করেছেন যে ফার্মের একটি PoCs মেমরিতে নির্বিচারে জাভা লোড করার প্রাথমিক প্রথম ধাপের বিশদ বিবরণ দেয়, একটি জনপ্রিয় শোষণ পদ্ধতি কিন্তু একটি যা সহজেই এন্ডপয়েন্ট সনাক্তকরণের মাধ্যমে আবিষ্কৃত হয়।
"এটি একটি খুব সুস্পষ্ট, সঙ্গমকে কাজে লাগানোর জন্য সহজে ধরা পড়ার পদ্ধতি," তিনি বলেছেন। "কিন্তু মেমরিতে নির্বিচারে জাভা লোড করা কীভাবে করবেন তা জানার জন্য দরকারী, কারণ পরবর্তী ধাপ, ওয়েব শেল অংশ, এটির উপর তৈরি করে।"
কনফ্লুয়েন্সে CVE-2023-22527-এর ধারণার VulnCheck-এর অন্য দুটি প্রমাণ কীভাবে দূষিত অভিনেতারা ওয়েব সার্ভারে অননুমোদিত অ্যাক্সেস পেতে সরাসরি একটি ইন-মেমরি ওয়েব শেল লোড করে কনফ্লুয়েন্স দুর্বলতাকে কাজে লাগাতে পারে।
কনফ্লুয়েন্সের মেমরি থেকে কোড লোড করা এবং কার্যকর করা কনফ্লুয়েন্সকে আক্রমণ করার জন্য অনেক বেশি গোপনীয় এবং অস্ত্রযুক্ত পদ্ধতি যা ডিফেন্ডারদের দ্বারা সনাক্ত হওয়ার সম্ভাবনা কম, বেইনস বলেছেন।
"অনেকগুলি সিস্টেম শুধুমাত্র ডিস্কে ফেলে দেওয়া ফাইলগুলি বিশ্লেষণ করে সিস্টেমে প্রতিপক্ষকে সনাক্ত করে," তিনি বলেন, ওয়েব শেলগুলির জন্য মেমরিতে জাভা স্ক্যান করার কোনও দুর্দান্ত উপায় নেই কারণ এটি যেভাবে গঠন করা হয়েছে - এর মধ্যেই আসল সমাধান রয়েছে নেটওয়ার্কে এটি সনাক্ত করা।
"এটির নিজস্ব চ্যালেঞ্জ রয়েছে, যেহেতু সবকিছু এনক্রিপ্ট করা হয়েছে এবং আপনাকে ক্লায়েন্টদের কাছে শংসাপত্র স্থাপন করতে হবে," তিনি বলেছেন। "দীর্ঘমেয়াদী উত্তর হল আপনি যা করতে পারেন তা ইন্টারনেট থেকে বন্ধ করে দেওয়া হচ্ছে।"
বেইনস উল্লেখ করেছেন যে কনফ্লুয়েন্সের এখন VulCheck-এর পরিচিত শোষিত দুর্বলতা (KEV) তালিকায় একাধিক ভিন্ন CVE রয়েছে।
"এটি অবশ্যই একটি VPN এর পিছনে রাখা শুরু করার সময়," তিনি বলেছেন। "অবশেষে, আক্রমণ পৃষ্ঠ ব্যবস্থাপনা এই আরও উন্নত সমস্যাগুলি প্রশমিত করতে সাহায্য করার উপায়।"
OGNL ঝুঁকি সঙ্গমে সীমাবদ্ধ নয়
বেইনস বলেছেন যে সংস্থাগুলির জন্য সমঝোতার ঝুঁকি অত্যন্ত বেশি, যারা এখনও সঙ্গমকে প্যাচ করেনি, গণ-শোষণের প্রচেষ্টা চলছে।
"আমরা দেখছি আক্রমণকারীরা এই ইন-মেমরি ওয়েব শেল ব্যবহার করেছে - এটি একটি তাত্ত্বিক আক্রমণ নয়," তিনি বলেছেন। "এটি এমন কিছু যা ঘটছে, তাই ডিফেন্ডারদের এটি সম্পর্কে সচেতন হওয়া দরকার এবং এটি এই মুহূর্তে একটি উচ্চ ঝুঁকি।"
বেইনস যোগ করেছেন যে ইন-মেমরি পদ্ধতির ঝুঁকি শুধুমাত্র কনফ্লুয়েন্সের মধ্যে সীমাবদ্ধ নয়, কারণ এটি অবজেক্ট-গ্রাফ নেভিগেশন ল্যাঙ্গুয়েজ (OGNL) অভিব্যক্তির সাথে সম্পর্কিত, যা বিকাশকারীদের একটি সহজ, সংক্ষিপ্ত বাক্য গঠন ব্যবহার করে জাভা অবজেক্টে বিভিন্ন ক্রিয়াকলাপ সম্পাদন করতে দেয়।
"এটি একই রকম দুর্বলতা সহ বিভিন্ন পণ্যকে প্রভাবিত করে - আপনি সেই অন্যান্য পণ্যগুলির বিরুদ্ধে এই সঠিক একই কৌশলটি ব্যবহার করতে পারেন," তিনি বলেছেন। "সংস্থাগুলিকে অবশ্যই এই ধরণের জিনিস ধরা শুরু করার জন্য একটি পদক্ষেপ বিকশিত করতে হবে উদাহরণস্বরূপ নেটওয়ার্ক-ভিত্তিক সনাক্তকরণ বা ক্ষতিকারক ওয়েব শেলগুলির জন্য জাভা মেমরি স্ক্যান করা।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/application-security/stealth-bomber-atlassian-confluence-exploits-drop-web-shells-in-memory
