Новости Бэкдор Effluence: когда даже патчи бессильны перед вредоносным ПО

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Полный контроль над серверами Confluence теперь в руках злоумышленников.


25inpl04b3cfurfevddna4aqp1sftt1p.jpg


Специалисты в области кибербезопасности из подразделения Stroz Friedberg компании Aon выявили новую угрозу под названием Effluence, представляющую из себя бэкдор , работоспособность которого возможна благодаря недавно обнаруженным уязвимостям в системе Atlassian Confluence Data Center и Server.

Исследователи опубликовали Для просмотра ссылки Войди или Зарегистрируйся , согласно которому вредоносный код Effluence действует как перманентный бэкдор и не устраняется даже после установки патчей для Confluence.

Effluence обеспечивает возможность перемещения по сети и извлечения данных из Confluence. Злоумышленники могут получить доступ к бэкдору удалённо, причём без необходимости проходить аутентификацию в целевой системе.

Исследователи подробно описали цепочку атаки, начавшуюся с использования уязвимости Для просмотра ссылки Войди или Зарегистрируйся в Atlassian. Этот критический недостаток, Для просмотра ссылки Войди или Зарегистрируйся , позволяет создавать неавторизованные учётные записи администратора Confluence и получать доступ к серверам.

Вскоре после этого в Atlassian Для просмотра ссылки Войди или Зарегистрируйся и вторая уязвимость , Для просмотра ссылки Войди или Зарегистрируйся , также позволяющая злоумышленникам создавать поддельные аккаунты администратора, что потенциально может привести к полной потере конфиденциальности и легкодоступности данных.

В рамках последней атаки, рассмотренной в Stroz Friedberg, злоумышленники получили первоначальный доступ через CVE-2023-22515, после чего внедрили новую веб-оболочку, обеспечивающую постоянный удалённый доступ ко всем веб-страницам сервера, включая страницу входа без аутентификации.

Веб-оболочка, состоящая из загрузчика и полезной нагрузки, является пассивной, позволяя запросам проходить через неё незамеченными до тех пор, пока не будет предоставлен запрос, соответствующий определённому параметру.

После этого запускаются вредоносные действия, включающие создание нового административного аккаунта, выполнение произвольных команд на сервере, перечисление, чтение и удаление файлов, сбор обширной информации о среде Atlassian, а также стирание логов для сокрытия следов активности.

По данным Stroz Friedberg, вышеописанный загрузчик действует как обычный плагин Confluence и отвечает за расшифровку и запуск полезной нагрузки. Хотя некоторые функции веб-оболочки зависят конкретно от API Confluence, механизм загрузчика и плагина, по-видимому, основан на общих API Atlassian и потенциально применим к JIRA , Bitbucket и другим продуктам Atlassian, где злоумышленник сможет установить плагин.
 
Источник новости
www.securitylab.ru

Похожие темы