0
0
De acordo com a Volexity, um webshell foi descoberto no servidor Atlassian Confluence durante uma investigação de resposta a incidentes. A Volexity determinou que era uma vulnerabilidade de dia zero que poderia executar código remoto mesmo após a conclusão do patch mais recente e relatou o problema à Atlassian.
Depois de receber o relatório de problema e identificá-lo como um dia zero, a Atlassian emitiu um aviso de segurança para a execução de código remoto crítico não autenticado.
Linha do tempo (baseada em PDT)
- 31 de maio: Volexity encontrou vulnerabilidade de dia zero na Confluência Atlassiana.
- 2 de junho, 13:00: Atlassian e Volexity emitiram um aviso de segurança para o CVE-2022-26134.
- 3 de junho, 8h: Atlassian anunciou como mitigar vulnerabilidades sem patches de segurança.
- 3 de junho, às 20h: Atlassian lançou atualizações de segurança para corrigir vulnerabilidades.
Webshell que também foi usado para ataques ao MS Exchange Server
De acordo com a Volexity, os atacantes podem explorar o CVE-2022-26134 para fazer upload de um webshell, particularmente o China Chopper, um notório problema de vulnerabilidade de segurança que também foi usado durante a última crise do Microsoft Exchange Server. Se o hacker penetrar no servidor e carregar este webshell, os atacantes podem acessar o servidor livremente, mesmo que o patch de segurança de dia zero esteja atualizado.
Webshell que também foi usado para ataques ao MS Exchange Server
Servidores de confluência ainda expostos à Internet
Apesar de um ataque de dia zero que começou durante o Memorial Day, a Atlassian parece ter lançado patches de segurança em um ritmo acelerado. No entanto, o problema é que ainda existem muitos servidores Confluence conectados à Internet sem serem corrigidos. Como no caso do problema do Microsoft Exchange Server, os servidores que ficaram desacompanhados por meses, mesmo após o lançamento dos patches de segurança, ainda estão conectados à Internet.
A AI Spera usou o Criminal IP para determinar o número de servidores Atlassian Confluence conectados à Internet. No Análise de Elementos, usando o filtro tech_stack: “Confluência Atlassiana“, você pode visualizar estatísticas sobre a Confluência específica do país exposta.
O resultado da pesquisa de Criminal IP acima mostra que mais de 5.600 servidores Confluence foram instalados em 70 países na internet. Através de seu outro recurso de Pesquisa de Ativos, descobrimos que esses IPs foram expostos à internet indefesos com o Confluence instalado da seguinte forma.
Servidor de Confluência Expostos
O que torna isso ainda pior é que há alguns casos em que esses PIs são de empresas ou instituições reais.
Além disso, o título HTML do servidor Confluence correspondente permite que você saiba o nome da empresa/organização que executa o servidor, tornando-os um alvo de ataque cibernético.
ASN do servidor Confluence exposto
Na verdade, no caso a seguir, a Confluência de uma faculdade de medicina americana é encontrada na internet e, pior ainda, todas as informações estão abertas sem autenticação de login.
A Confluência exposta dos EUA Faculdade de Medicina
VPN, um método chave de ataque cibernético
De acordo com o COI divulgado pela Volexity, 15 IPs interagindo com webshells no servidor Confluence foram encontrados após o primeiro caso de ataque Confluence. Depois de analisá-los com Criminal IP, os cinco seguintes são identificados como usando serviços VPN. Hoje em dia, os atacantes que realizam ataques de dia zero ou APT tendem a usar VPN em vez de IPs com um alto índice malicioso. Isso leva a uma nova tendência de segurança na qual as empresas devem detectar VPNs para IP de entrada, já que se espera que mais atacantes usem VPNs para não deixar vestígios quando passam por servidores pré-penetrados.
Abaixo estão os IPs marcados como VPN no IP Criminal. Um IP Tor também é detectado.
156.146.56.136 VPN
198.147.22.148 VPN
59.163.248.170 VPN
64.64.228.239 VPN
66.115.182.102 VPN
66.115.182.111 VPN
156.146.34.9 Tor
Um dos 15 casos de exploração de dia zero da Confluence divulgados pela Volexity é detectado como uma VPN no Criminal IP.
Como Verificar Vulnerabilidades
Se você tiver acesso ao Confluence através de um navegador no seu PC, poderá executar o seguinte comando com um script curl ou python para determinar vulnerabilidades do seu servidor Confluence. Mesmo que você não seja um oficial de segurança da informação, há uma maneira de verificar as vulnerabilidades da Confluence da sua empresa. Tente o seguinte e solicite patches ao seu departamento de segurança:
Se você alterar a parte do seu_endereço_confluence, poderá verificá-la com o curl da seguinte maneira. Se o uid, gid e o grupo do servidor Confluence forem exibidos no valor do cabeçalho X-Cmd-Response, este servidor será considerado como tendo a vulnerabilidade CVE-2022-26134.
curl -v -k –head https://your_confluence_address/
%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%
40toString%28%40java.lang.Runtime%40getRuntime%28%
29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf
-8%22%29%29.%28%40com.opensymphony.webwork.Servlet
ActionContext%40getResponse%28%29.setHeader%28%22X-
Cmd-Response%22%2C%23a%29%29%7D/ | grep X-Cmd-Response
Conclusão
Em 3 de junho de 2022, a Atlassian lançou um patch para o CVE-2022-26134. No entanto, algumas organizações podem se sentir sobrecarregadas por desligar servidores para atualizações de segurança, já que o Confluence é um sistema wiki usado por muitas pessoas para compartilhar informações importantes. Neste caso, a Atlassian também está sugerindo uma solução manual apenas para problemas de segurança, portanto, use esse método para agir de acordo com as recomendações da Atlassian.
Com o ataque de dia zero, os fornecedores têm trabalhado ativamente em atualizações de segurança apropriadas. No entanto, ao contrário da maioria dos casos, as vulnerabilidades em sistemas baseados na web são fáceis de atacar do lado de fora assim que ocorre o dia zero sem condições complicadas. Além disso, se o backdoor webshell já estiver carregado, verificações de segurança adicionais devem ser realizadas porque um caminho já foi criado para que os hackers acessem livremente o sistema, mesmo depois de executar o patch.
Quando tal vulnerabilidade na execução remota de código usando dia zero aparece, um padrão que leva à criação do backdoor webshell continua. Espera-se que ataques Webshell, como incidentes do Microsoft Exchange e Confluence, continuem no futuro.
Para referência, a Confluence sofreu com o ataque de dia zero no ano passado. A Confluência é um sistema bem conhecido no mundo, mas, ao mesmo tempo, é um dos principais alvos de ataques cibernéticos. Isso ocorre porque é um servidor onde informações importantes de empresas e instituições são coletadas em um só lugar, fazendo os hackers babarem. Portanto, a primeira coisa que as empresas ou organizações que usam o Confluence devem fazer é bloquear imediatamente o acesso externo ao servidor Confluence. Além disso, o monitoramento e a inspeção periódicos da superfície de ataque devem ser realizados para evitar que esses sistemas críticos de gerenciamento de informações sejam expostos externamente.
FONTE: HELPNET SECURITY