생성 데이터 인텔리전스

사이버 보안

스텔스 폭격기: Atlassian Confluence, 메모리 내 드롭 웹 셸 악용

Plato에 의해 재발행
Plato에 의해 재발행

시간

조회 수 : 0

널리 표적이 된 Atlassian Confluence Data Center 및 Confluence Server 결함에 대한 새로운 개념 증명(PoC) 익스플로잇이 널리 퍼지고 있습니다. 새로운 공격 벡터를 통해 악의적인 행위자는 파일 시스템을 건드리지 않고도 Confluence의 메모리 내에서 임의의 코드를 은밀하게 실행할 수 있습니다.

VulnCheck의 연구원들은 다음과 같은 공격을 추적해 왔습니다. CVE-2023-22527 원격 코드 실행(RCE) 취약점, 지난 30월 공개됐다. CVE는 이후 "악성 활동의 온상"이 되었으며, VulnCheck는 현재 최신 옵션을 포함하여 이 취약점에 대한 XNUMX개의 고유한 실제 공격을 추적하고 있습니다.

Confluence에 대한 대부분의 공격은 "악명 높은" 공격을 로드합니다. 고질라 웹 셸. Godzilla를 사용하면 공격자는 손상된 서버를 원격으로 제어하고, 임의 명령을 실행하고, 파일을 업로드 및 다운로드하고, 데이터베이스를 조작하고, 기타 악의적인 활동을 수행할 수 있습니다.

그러나 새로운 접근 방식은 인메모리 페이로드를 사용하는 것입니다. 이 기술을 사용하여 실제 PoC를 발견한 후 VulnCheck 연구원은 메모리 내 접근 방식의 한계를 조사하기 위해 자체 PoC 3개를 개발했습니다.

분주한 활동은 누구도 놀라지 않을 것입니다. VulnCheck CTO인 Jacob Baines는 다음과 같이 말합니다. 공격자는 Confluence를 표적으로 삼는 것을 좋아합니다. 애플리케이션 내에서 사용할 수 있는 풍부한 비즈니스 정보로 인해 내부 네트워크로의 "좋은 중심점"이 됩니다.

“이 목표를 활용하면 비즈니스 관련 로직이 포함된 온프레미스 버전을 얻을 수 있습니다.”라고 그는 말합니다. "특히 랜섬웨어 공격자에게는 매우 매력적입니다."

Atlassian Confluence 악용을 위한 인메모리 웹 셸

As VulnCheck의 블로그 게시물 자세한 내용은 “로마에 가는 방법은 여러 가지가 있습니다. 더 은밀한 경로는 다른 지표를 생성합니다. 특히 흥미로운 점은 이미 존재하는 변형이 있는 인메모리 웹 셸입니다. 이 셸은 실제로 배포된 것으로 보입니다.”

Baines는 회사의 PoC 중 하나가 널리 사용되는 공격 접근 방식이지만 엔드포인트 탐지를 통해 쉽게 발견할 수 있는 임의 Java를 메모리에 로드하는 기본적인 첫 번째 단계를 자세히 설명한다고 설명합니다.

“이것은 Confluence를 활용하는 매우 분명하고 잡기 쉬운 방법입니다.”라고 그는 말합니다. "그러나 임의의 Java를 메모리에 로드하는 것은 수행 방법을 아는 데 유용합니다. 왜냐하면 다음 단계인 웹 셸 부분이 이를 기반으로 구축되기 때문입니다."

Confluence의 CVE-2023-22527에 대한 VulnCheck의 다른 두 가지 개념 증명에서는 악의적인 공격자가 인메모리 웹 셸을 직접 로드하여 웹 서버에 대한 무단 액세스를 얻는 방식으로 Confluence 취약점을 악용하는 방법을 자세히 설명합니다.

Confluence의 메모리에 코드를 로드하고 실행하는 것은 Confluence를 공격하기 위한 훨씬 더 은밀하고 무기화된 접근 방식이므로 방어자에게 탐지될 가능성이 낮다고 Baines는 말합니다.

"많은 시스템이 디스크에 삭제된 파일을 분석하여 시스템의 공격자만 탐지합니다."라고 그는 말합니다. 구조적 방식 때문에 메모리에서 웹 셸용 Java를 검색할 수 있는 좋은 방법은 없다고 덧붙였습니다. 실제 솔루션은 다음과 같습니다. 네트워크에서 이를 감지합니다.

“모든 것이 암호화되어 있고 클라이언트에 인증서를 배포해야 하기 때문에 그 자체로 어려운 과제가 있습니다.”라고 그는 말합니다. "장기적인 대답은 가능한 한 모든 것을 인터넷에서 벗어나는 것입니다."

Baines는 Confluence가 이제 VulCheck의 알려진 악용 취약점(KEV) 목록에 여러 가지 CVE를 가지고 있다고 지적합니다.

“이제 VPN을 뒤에 두기 시작할 때입니다.”라고 그는 말합니다. "궁극적으로 공격 표면 관리는 이러한 고급 문제를 완화하는 데 도움이 되는 방법입니다."

OGNL 위험은 Confluence에만 국한되지 않습니다

Baines는 현재 진행 중인 대량 공격 노력을 고려할 때 아직 Confluence를 패치하지 않은 조직의 경우 손상 위험이 매우 높다고 말합니다.

“공격자들이 이 인메모리 웹 셸을 사용한 것을 확인했습니다. 이는 이론적인 공격이 아닙니다.”라고 그는 말합니다. "이런 일이 일어나고 있기 때문에 수비수들은 이를 인지하고 현재로서는 매우 위험하다는 사실을 인지해야 합니다."

Baines는 인메모리 접근 방식의 위험이 Confluence에만 국한되지 않고 개발자가 간단하고 간결한 구문을 사용하여 Java 개체에 대해 다양한 작업을 수행할 수 있게 해주는 OGNL(Object-Graph Navigation Language) 표현과 관련되어 있다고 덧붙였습니다.

“이는 유사한 취약점을 지닌 다양한 제품에 영향을 미칩니다. 다른 제품에 대해서도 동일한 기술을 사용할 수 있습니다.”라고 그는 말합니다. “조직은 네트워크 기반 탐지나 Java 메모리에서 악성 웹 셸을 검색하는 등 이런 종류의 것을 포착하기 위한 단계를 발전시켜야 합니다.”

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.