W sieci krążą nowe exploity typu proof-of-concept (PoC), mające na celu wyeliminowanie szeroko ukierunkowanej luki w centrum danych Atlassian Confluence Data Center i serwerze Confluence. Nowe wektory ataku mogą umożliwić złośliwemu aktorowi potajemne wykonanie dowolnego kodu w pamięci Confluence bez dotykania systemu plików.
Badacze z VulnCheck śledzą exploity dla Luka CVE-2023-22527 umożliwiająca zdalne wykonanie kodu (RCE)., który został ujawniony w styczniu. Od tego czasu CVE stało się „wylęgarnią złośliwej aktywności”, a VulnCheck śledzi obecnie 30 unikalnych exploitów wykorzystujących tę lukę, w tym nowsze opcje.
Większość ataków na Confluence ładuje „niesławne” Powłoka sieciowa Godzilla. Godzilla umożliwia atakującym zdalne kontrolowanie zaatakowanego serwera, wykonywanie dowolnych poleceń, przesyłanie i pobieranie plików, manipulowanie bazami danych i wykonywanie innych złośliwych działań.
Jednak nowym podejściem jest użycie ładunku znajdującego się w pamięci. Po wykryciu dzikich PoC przy użyciu tej techniki badacze z VulnCheck opracowali trzy własne PoC, aby zbadać ograniczenia podejścia opartego na pamięci.
Ogrom aktywności nie powinien nikogo dziwić: Jacob Baines, CTO VulnCheck, twierdzi, że myśli napastnicy uwielbiają atakować Confluence ze względu na bogactwo informacji biznesowych dostępnych w aplikacji, co czyni ją „dobrym punktem zwrotnym” do sieci wewnętrznej.
„Wykorzystując ten cel, otrzymujesz wersję lokalną z logiką specyficzną dla firmy” – mówi. „Jest to całkiem atrakcyjne, zwłaszcza dla osób atakujących oprogramowanie ransomware”.
Powłoki internetowe w pamięci dla exploitów Atlassian Confluence
As Wpis na blogu VulnCheck szczegóły: „Istnieje więcej niż jeden sposób dotarcia do Rzymu. Bardziej ukryte ścieżki generują różne wskaźniki. Szczególnie interesująca jest powłoka internetowa przechowywana w pamięci, która miała wcześniej istniejący wariant… który najwyraźniej został wdrożony na wolności”.
Baines wyjaśnia, że jeden z dokumentów PoC firmy szczegółowo opisuje podstawowy pierwszy krok polegający na załadowaniu dowolnej Java do pamięci. Jest to popularna metoda wykorzystująca exploity, ale łatwa do wykrycia dzięki wykrywaniu punktów końcowych.
„To bardzo oczywista i łatwa do wykrycia metoda wykorzystania Confluence” – mówi. „Jednak warto wiedzieć, jak załadować dowolną Javę do pamięci, ponieważ następny krok, część powłoki internetowej, opiera się na tym”.
Pozostałe dwa dowody koncepcji VulnCheck dotyczące CVE-2023-22527 w Confluence szczegółowo opisują, w jaki sposób złośliwi aktorzy mogą wykorzystać lukę w zabezpieczeniach Confluence, ładując bezpośrednio powłokę internetową znajdującą się w pamięci w celu uzyskania nieautoryzowanego dostępu do serwerów internetowych.
Ładowanie i wykonywanie kodu z pamięci Confluence to znacznie bardziej ukryte i uzbrojone podejście do atakowania Confluence, które jest mniej prawdopodobne, że zostanie wykryte przez obrońców, mówi Baines.
„Wiele systemów wykrywa przeciwników w systemie jedynie na podstawie analizy plików upuszczanych na dysk” – mówi, dodając, że nie ma dobrego sposobu na przeskanowanie pamięci Java w poszukiwaniu powłok internetowych ze względu na jej strukturę — prawdziwe rozwiązanie polega na wykrycie go w sieci.
„To wiąże się z pewnymi wyzwaniami, ponieważ wszystko jest szyfrowane i trzeba wdrażać certyfikaty u klientów” – mówi. „Długoterminową odpowiedzią jest usunięcie z Internetu wszystkiego, co się da”.
Baines zwraca uwagę, że Confluence ma obecnie wiele różnych CVE na liście znanych luk w zabezpieczeniach (KEV) firmy VulCheck.
„Zdecydowanie nadszedł czas, aby zacząć odkładać to na VPN” – mówi. „Ostatecznie zarządzanie powierzchnią ataku jest sposobem na złagodzenie bardziej zaawansowanych problemów”.
Ryzyko OGNL nie ogranicza się do Confluence
Baines twierdzi, że ryzyko kompromisu jest niezwykle wysokie w przypadku organizacji, które wciąż nie załatały Confluence, biorąc pod uwagę trwające wysiłki związane z masową eksploatacją.
„Widzimy, że napastnicy wykorzystali tę powłokę internetową umieszczoną w pamięci — nie jest to atak teoretyczny” – mówi. „To coś, co się dzieje, więc obrońcy muszą być tego świadomi i że w tej chwili wiąże się to z wysokim ryzykiem”.
Baines dodaje, że ryzyko związane z podejściem in-memory nie ogranicza się tylko do Confluence, ponieważ jest powiązane z wyrażeniami języka nawigacji grafów obiektowych (OGNL), które umożliwiają programistom wykonywanie różnych operacji na obiektach Java przy użyciu prostej, zwięzłej składni.
„Dotyczy to wielu różnych produktów o podobnych lukach w zabezpieczeniach. Tę samą technikę można zastosować przeciwko innym produktom” – mówi. „Organizacje muszą przejść kolejny krok, aby zacząć wychwytywać tego rodzaju zjawiska, na przykład wykrywanie w sieci lub skanowanie pamięci Java w poszukiwaniu złośliwych powłok internetowych”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/stealth-bomber-atlassian-confluence-exploits-drop-web-shells-in-memory
