0
0
Uma vulnerabilidade crítica de segurança na Confluência Atlassian está sob ataque ativo, abrindo servidores para a aquisição total do sistema, alertaram os pesquisadores de segurança.
O bug (CVE-2022-26134) é um problema de injeção de comando que permite a execução de código remoto não autenticado (RCE), afetando todas as versões suportadas do Confluence Server e do Data Center confluence. De acordo com uma investigação forense de dois ataques de zero-day pela Volexity, ele pode ser explorado sem precisar de credenciais ou interação do usuário, simplesmente enviando uma solicitação da Web especialmente trabalhada para o sistema de Confluência.
Nenhum site da Nuvem Atlassian foi afetado.
Confluence é um conjunto de trabalho remoto e espaço de trabalho corporativo usado para gerenciamento de projetos e colaboração entre equipes. Como tal, abriga dados confidenciais sobre projetos, usuários específicos e potencialmente parceiros e clientes; além disso, tende a ser integrado com outros recursos corporativos, servidores e sistemas. Uma exploração bem-sucedida permitiria que os invasores aspirassem dados da plataforma, bem como pivô para se aprofundar na rede de uma organização como um prelúdio para, digamos, um ataque de ransomware.
“Ao explorar esse tipo de vulnerabilidade, os invasores podem obter acesso direto a sistemas e redes altamente sensíveis”, observaram os pesquisadores da Volexity.
Os pesquisadores aconselharam os administradores a remover o acesso externo aos seus servidores de Confluência imediatamente até que os patches tenham sido aplicados. Enquanto isso, a Atlassian confirmou em sua assessoria que apressou uma correção, com patches rolando para o fechamento do ET de negócios em 3 de junho.
Um porta-voz disse à Dark Reading que a empresa “entrou em contato diretamente com todos os clientes potencialmente vulneráveis para notificá-los da correção”.
Ataques de confluência atlassiana de zero-day
Durante sua investigação, Volexity seguiu o caminho dos atacantes em duas instâncias, o que foi o mesmo em ambos. Para começar, os culpados exploraram a vulnerabilidade para criar um webshell interativo (escrevendo um arquivo de classe malicioso na memória), o que lhes deu acesso backdoor persistente ao servidor sem ter que escrever nada em disco.
Depois disso, a empresa observou que os atores de ameaça deixaram cair o implante Behinder no servidor, que é uma ferramenta de código aberto para criar webshells flexíveis somente de memória. Também permite a integração com meterpreter e Cobalt Strike, duas ferramentas que são mais usadas para o movimento lateral. O Meterpreter permite que os usuários busquem vários módulos Metasploit (ou seja, explorações de trabalho para bugs conhecidos), enquanto o Cobalt Strike é uma ferramenta de teste de caneta que é frequentemente usada pelos bandidos para sondar e comprometer novos alvos na rede.
Uma vez que o Behinder estava no lugar, a Volexity descobriu que os adversários passaram a instalar duas webshells adicionais em disco: o China Chopper e um shell de upload de arquivo personalizado. China Chopper é uma ferramenta que existe há uma década, que permite que os invasores mantenham acesso a um servidor Web infectado usando um aplicativo do lado do cliente. O cliente contém toda a lógica necessária para controlar o alvo, o que torna muito fácil de usar.
Uma vez que esta configuração básica de infecção estava no lugar, os atacantes executaram vários comandos, incluindo aqueles destinados ao reconhecimento (verificando o sistema operacional, procurando repositórios de senha); roubar informações e tabelas de usuários do banco de dados local de Confluência; e alterar registros de acesso à Web para remover evidências de exploração, disse Volexity.
Embora a empresa tenha detectado dois ataques de zero-day, é provável que a atividade seja mais difundida. “A Volexity tem razões para acreditar que essa exploração está atualmente em uso por vários atores de ameaças e que o provável país de origem desses atacantes é a China”, disseram os pesquisadores.
Como prevenir o compromisso de confluência
A melhor opção além de corrigir para evitar compromissos é simplesmente desativar as instâncias do Confluence Server e do Data Center de Confluência, remover todo o acesso externo ou usar regras de segurança de endereço IP para restringir o acesso apenas a pontos finais confiáveis, observaram os pesquisadores. As organizações também podem adicionar regras de desseserialização Java que se defendem contra vulnerabilidades de injeção de RCE em seus firewalls de aplicativos web (WAFs).
Também é importante descobrir sinais de qualquer compromisso, dado que uma infecção pode persistir além da remendagem.
“A presença de uma webshell fornece a um invasor a capacidade de manter o acesso a um sistema comprometido mesmo depois de uma vulnerabilidade como esta ter sido corrigida”, observa Satnam Narang, engenheiro sênior de pesquisa da Tenable. “Observamos a mesma exploração após a vulnerabilidade do ProxyShell no ano passado, onde os invasores implantaram webshells em instâncias vulneráveis do Microsoft Exchange Server.”
No entanto, “esses sistemas podem muitas vezes ser difíceis de investigar, pois não possuem os recursos adequados de monitoramento ou registro”, apontou Volexity.
Os pesquisadores da Volexity ofereceram os seguintes conselhos:
- Certifique-se de que os serviços web voltados para a Internet tenham recursos robustos de monitoramento e políticas de retenção de log para ajudar no caso de um incidente
- Envie arquivos de registro relevantes de servidores web voltados para a Internet para um servidor SIEM ou Syslog
- Monitorar processos infantis de processos de aplicativos web para processos suspeitos (neste caso, a concha Python é um bom exemplo disso)
Se passado é prólogo, é bom estar atento a este: Atacantes vêem a Confluência como um alvo popular, como mostrado pela exploração em massa de outra falha da RCE no outono passado, em volumes que eram grandes o suficiente para disparar um alerta CISA.
“Embora atualmente não haja detalhes de exploração ou prova de conceito para essa vulnerabilidade, sabemos pela história que os atacantes aproveitam a oportunidade para atingir produtos atlassianos como a Confluência”, diz Narang ao Dark Reading. “Encorajamos fortemente as organizações a revisar suas opções de mitigação até que os patches estejam disponíveis.”
Greg Fitzgerald, co-fundador da Sevco Security, também adverte as organizações a tomar medidas proativas para geralmente prevenir ataques de zero-day.
“As organizações vulneráveis a essa exploração não podem simplesmente sentar e assumir que isso será resolvido através de seu processo típico de gerenciamento de patches”, diz ele ao Dark Reading. “Quando a Atlassian lançar um patch, esse será o primeiro passo para a maioria das organizações. Mas enquanto as vulnerabilidades de remendamento funcionam muito bem para os sistemas que você conhece, a grande maioria das empresas simplesmente não sabe a totalidade de sua superfície de ataque. Isso ocorre porque manter um inventário preciso de ativos de TI em um ambiente dinâmico é excepcionalmente difícil. Atores de ameaças descobriram isso há muito tempo e trabalham 24 horas para explorá-lo. O primeiro passo para combater ameaças como esta é estabelecer um inventário contínuo e preciso de todos os ativos corporativos para servir como um controle fundamental para o seu programa de segurança.”
Este post foi atualizado às 4:45 ET para refletir que o bug não está mais sem correção.
FONTE: DARK READING