Looduses ringlevad värsked kontseptsiooni tõestamise (PoC) võtted laialdaselt sihitud Atlassian Confluence'i andmekeskuse ja Confluence'i serveri vea jaoks. Uued ründevektorid võivad võimaldada pahatahtlikul toimijal Confluence'i mälus vargsi käivitada suvalist koodi ilma failisüsteemi puudutamata.
VulnChecki teadlased on jälginud rünnakuid CVE-2023-22527 koodi kaugkäivitamise (RCE) haavatavus, mis avalikustati jaanuaris. Sellest ajast alates on CVE-st saanud "pahatahtliku tegevuse leviala", kusjuures VulnCheck jälgib praegu haavatavuse tuvastamiseks 30 ainulaadset metsikust ärakasutamist, sealhulgas uuemaid võimalusi.
Enamik Confluence'i vastu suunatud rünnakuid koormab "kurikuulsaid" Godzilla veebikest. Godzilla võimaldab ründajatel kaugjuhtida ohustatud serverit, täita suvalisi käske, laadida üles ja alla laadida faile, manipuleerida andmebaasidega ja sooritada muid pahatahtlikke tegevusi.
Uus lähenemisviis on aga mälusisese kasuliku koormuse kasutamine. Pärast seda, kui VulnChecki teadlased avastasid seda tehnikat kasutades metsikuid PoC-sid, töötasid VulnChecki teadlased välja kolm eraldi PoC-d, et uurida mälusisese lähenemise piire.
Aktiivsus ei tohiks kedagi üllatada: VulnChecki tehnoloogiadirektor Jacob Baines ütleb, et arvab ründajatele meeldib Confluence'i sihtida kuna rakenduses on palju äriteavet, mis muudab selle "hea pöördepunktiks" sisevõrgus.
"Selle sihtmärgi ärakasutamisel saate ettevõttepõhise loogikaga kohapealse versiooni," ütleb ta. "See on eriti atraktiivne lunavararündajate jaoks."
Mälus olevad veebikestad Atlassian Confluence Exploitide jaoks
As VulnChecki ajaveebi postitus üksikasjad: "Rooma jõudmiseks on rohkem kui üks viis. Vargasemad teed genereerivad erinevaid näitajaid. Eriti huvitav on mälusisene veebikest, millel oli juba olemasolev variant … mis näib olevat looduses kasutusele võetud.
Baines selgitab, et üks ettevõtte PoC-dest kirjeldab suvalise Java mällu laadimise esimest põhietappi, mis on populaarne ärakasutamisviis, kuid mis on lõpp-punkti tuvastamise abil hõlpsasti tuvastatav.
"See on väga ilmne ja hõlpsasti tabatav meetod Confluence'i kasutamiseks, " ütleb ta. "Kuid suvalise Java mällu laadimine on kasulik teada, kuidas seda teha, sest järgmine samm, veebikesta osa, põhineb sellel."
VulnChecki kaks teist CVE-2023-22527 kontseptsiooni tõestust rakenduses Confluence kirjeldavad üksikasjalikult, kuidas pahatahtlikud osalejad saavad Confluence'i haavatavust ära kasutada, laadides otse mällusisese veebishelli, et pääseda veebiserveritele volitamata juurde.
Baines ütleb, et Confluence'i mällu koodi laadimine ja sealt käivitamine on Confluence'i ründamiseks palju varglikum ja relvastatud lähenemine, mida kaitsjad vähem tõenäoliselt tuvastavad.
"Paljud süsteemid tuvastavad süsteemis olevaid vastaseid ainult kettale kukutatud failide analüüsimise teel," ütleb ta ja lisab, et selle ülesehituse tõttu pole head viisi Java mällu skannimiseks veebikestade jaoks – tõeline lahendus peitub selles tuvastada see võrgus.
"Sellel on oma väljakutsed, kuna kõik on krüpteeritud ja peate klientidele sertifikaadid juurutama," ütleb ta. "Pikaajaline vastus on saada Internetist kõik, mis võimalik."
Baines juhib tähelepanu sellele, et Confluence'il on VulChecki tuntud ärakasutatud haavatavuste (KEV) loendis nüüd mitu erinevat CVE-d.
"Kindlasti on aeg hakata seda VPN-i taha panema," ütleb ta. "Lõppkokkuvõttes on ründepinna haldamine viis, kuidas aidata neid keerukamaid probleeme leevendada."
OGNL-i risk ei piirdu liitumisega
Baines ütleb, et kompromissi oht on äärmiselt suur organisatsioonide jaoks, kes pole Confluence'i ikka veel parandanud, arvestades käimasolevaid massilise ekspluateerimise jõupingutusi.
"Näeme, et ründajad on kasutanud seda mälus olevat veebikest – see pole teoreetiline rünnak," ütleb ta. "See on midagi, mis juhtub, nii et kaitsjad peavad sellest teadlikud olema ja et see on praegu suur oht."
Baines lisab, et mälusisesest lähenemisest tulenev risk ei piirdu ainult Confluence'iga, kuna see on seotud Object-Graph Navigation Language (OGNL) väljenditega, mis võimaldavad arendajatel teha Java objektidega erinevaid toiminguid, kasutades lihtsat ja ülevaatlikku süntaksit.
"See mõjutab paljusid erinevaid sarnase haavatavusega tooteid – võite kasutada täpselt sama tehnikat nende teiste toodete vastu," ütleb ta. "Organisatsioonid peavad arenema samm-sammult, et hakata selliseid asju tabama, näiteks võrgupõhine tuvastamine või Java-mälu skannimine pahatahtlike veebikestade jaoks."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/application-security/stealth-bomber-atlassian-confluence-exploits-drop-web-shells-in-memory
