Eksploitasi proof-of-concept (PoC) baru sedang beredar di alam liar untuk kelemahan Pusat Data Atlassian Confluence dan Server Confluence yang ditargetkan secara luas. Vektor serangan baru dapat memungkinkan aktor jahat mengeksekusi kode arbitrer secara diam-diam dalam memori Confluence tanpa menyentuh sistem file.

Para peneliti di VulnCheck telah melacak eksploitasi untuk Kerentanan eksekusi kode jarak jauh (RCE) CVE-2023-22527, yang diungkapkan pada bulan Januari. CVE sejak itu menjadi “sarang aktivitas berbahaya” yang mereka catat, dengan VulnCheck saat ini melacak 30 eksploitasi unik untuk kerentanan tersebut, termasuk opsi yang lebih baru.

Sebagian besar serangan terhadap Confluence memuat hal-hal yang “terkenal” Cangkang Web Godzilla. Godzilla memungkinkan penyerang mengontrol server yang disusupi dari jarak jauh, menjalankan perintah sewenang-wenang, mengunggah dan mengunduh file, memanipulasi basis data, dan melakukan aktivitas berbahaya lainnya.

Namun, pendekatan baru adalah menggunakan payload dalam memori. Setelah menemukan PoC liar menggunakan teknik tersebut, peneliti VulnCheck mengembangkan tiga PoC mereka sendiri untuk menyelidiki batasan pendekatan dalam memori.

Kesibukan aktivitas seharusnya tidak mengejutkan siapa pun: CTO VulnCheck Jacob Baines mengatakan menurutnya penyerang suka menargetkan Confluence karena banyaknya informasi bisnis yang tersedia dalam aplikasi, yang menjadikannya “poros yang baik” ke dalam jaringan internal.

“Dengan memanfaatkan target ini, Anda mendapatkan versi lokal dengan logika spesifik bisnis di dalamnya,” katanya. “Ini cukup menarik khususnya bagi penyerang ransomware.”

Shell Web Dalam Memori untuk Eksploitasi Pertemuan Atlassian

As Entri blog VulnCheck rinciannya, “Ada lebih dari satu cara untuk mencapai Roma. Jalur yang lebih tersembunyi menghasilkan indikator yang berbeda-beda. Yang menarik adalah shell Web di dalam memori, yang memiliki varian yang sudah ada sebelumnya… yang tampaknya telah diterapkan di alam liar.”

Baines menjelaskan bahwa salah satu PoC perusahaan merinci langkah dasar pertama memuat Java sembarang ke dalam memori, sebuah pendekatan eksploitasi yang populer tetapi mudah ditemukan dengan deteksi titik akhir.

“Ini adalah metode yang sangat jelas dan mudah ditangkap untuk mengeksploitasi Confluence,” katanya. “Tetapi memuat Java sembarang ke dalam memori berguna untuk mengetahui cara melakukannya, karena langkah berikutnya, bagian shell Web, dibangun berdasarkan hal tersebut.”

Dua bukti konsep VulnCheck lainnya untuk CVE-2023-22527 di Confluence merinci bagaimana pelaku kejahatan dapat mengeksploitasi kerentanan Confluence dengan memuat shell Web dalam memori secara langsung untuk mendapatkan akses tidak sah ke server Web.

Memuat dan mengeksekusi kode dari memori Confluence adalah pendekatan yang jauh lebih tersembunyi dan dipersenjatai untuk menyerang Confluence yang kecil kemungkinannya untuk terdeteksi oleh pembela HAM, kata Baines.

“Banyak sistem hanya mendeteksi musuh pada sistem dengan menganalisis file yang dimasukkan ke disk,” katanya, sambil menambahkan bahwa tidak ada cara terbaik untuk memindai Java di memori untuk mencari shell Web karena strukturnya — solusi sebenarnya terletak pada mendeteksinya di jaringan.

“Hal ini mempunyai tantangan tersendiri, karena semuanya dienkripsi dan Anda harus menyebarkan sertifikat ke klien,” katanya. “Jawaban jangka panjangnya adalah memanfaatkan Internet semampu Anda.”

Baines menunjukkan Confluence kini memiliki beberapa CVE berbeda di daftar VulCheck's Known Exploited Vulnerabilities (KEV).

“Ini jelas merupakan waktu yang tepat untuk mulai menerapkan hal tersebut pada VPN,” katanya. “Pada akhirnya, manajemen permukaan serangan adalah cara untuk membantu memitigasi masalah yang lebih parah ini.”

Risiko OGNL Tidak Terbatas pada Pertemuan

Baines mengatakan risiko kompromi sangat tinggi bagi organisasi yang masih belum melakukan patch pada Confluence, mengingat upaya eksploitasi massal yang sedang dilakukan.

“Kami melihat penyerang telah menggunakan shell Web di dalam memori ini — ini bukan serangan teoritis,” katanya. “Ini adalah sesuatu yang sedang terjadi, jadi para pembela HAM perlu mewaspadainya, dan ini merupakan risiko yang tinggi saat ini.”

Baines menambahkan bahwa risiko dari pendekatan dalam memori tidak hanya terbatas pada Confluence, tetapi juga terkait dengan ekspresi Object-Graph Navigation Language (OGNL), yang memungkinkan pengembang melakukan berbagai operasi pada objek Java menggunakan sintaksis yang sederhana dan ringkas.

“Hal ini berdampak pada berbagai produk berbeda yang memiliki kerentanan serupa — Anda dapat menggunakan teknik yang sama terhadap produk lainnya,” katanya. “Organisasi harus mengembangkan langkah untuk mulai menangkap hal-hal semacam ini, misalnya deteksi berbasis jaringan atau pemindaian memori Java untuk mencari shell Web berbahaya.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/application-security/stealth-bomber-atlassian-confluence-exploits-drop-web-shells-in-memory