Atlassian, Confluence Server ve Data Center ürünlerini etkileyen kritik bir yama uygulanmamış uzaktan kod yürütme güvenlik açığı konusunda uyardı ve vahşi ortamda aktif olarak istismar edildiğini söyledi.
Avustralyalı yazılım şirketi, siber güvenlik firması Volexity’ye, şu ana kadar izlenen kusuru tespit ettiği için kredi verdi. CVE-2022-26134.
“Atlassian, Confluence Data Center ve Server’da kritik önemdeki, kimliği doğrulanmamış uzaktan kod yürütme güvenlik açığının mevcut aktif istismarından haberdar edildi.” söz konusu bir danışma belgesinde.
“Şu anda Confluence Sunucusu ve Veri Merkezi’nin sabit sürümleri mevcut değil. Atlassian, bir düzeltme yayınlamak için en yüksek öncelikle çalışıyor.” Bir yazılım yaması bulunana kadar güvenlik açığının özellikleri saklandı.
Kurumsal çözümün tüm sürümlerinin potansiyel olarak savunmasız olması beklense de, Confluence Server ve Data Center’ın tüm desteklenen sürümleri etkilenir. Etkilenen en erken sürüm henüz belirlenmedi.
Atlassian, bir düzeltme olmaması durumunda, müşterileri Confluence Sunucusu ve Veri Merkezi örneklerini internetten kısıtlamaya veya Confluence Sunucusu ve Veri Merkezi örneklerini tamamen devre dışı bırakmayı düşünmeye çağırıyor.
Volexity, bağımsız bir açıklamada, olay müdahale soruşturmasının bir parçası olarak ABD’deki Anma Günü hafta sonu boyunca etkinliği tespit ettiğini söyledi.
Saldırı zinciri, sunucuda kimliği doğrulanmamış uzaktan kod yürütülmesini sağlamak için Atlassian sıfır gün açığından (bir komut enjeksiyon güvenlik açığı) yararlanmayı içeriyordu ve tehdit aktörünün Behinder web kabuğunu bırakmak için dayanağı kullanmasına olanak tanıyordu.
“arkasında Saldırganlara, yalnızca belleğe sahip web kabukları ve Meterpreter ve Cobalt Strike ile etkileşim için yerleşik destek de dahil olmak üzere çok güçlü yetenekler sağlıyor.” söz konusu. “Aynı zamanda kalıcılığa izin vermiyor, bu da yeniden başlatma veya hizmetin yeniden başlatılmasının onu sileceği anlamına geliyor.”
Daha sonra, web kabuğunun, aşağıdakiler dahil olmak üzere iki ek web kabuğunu diske yerleştirmek için bir kanal olarak kullanıldığı söylenir. Çin Doğrayıcı ve rastgele dosyaları uzak bir sunucuya sızdırmak için özel bir dosya yükleme kabuğu.
Geliştirme, Atlassian Confluence’daki (CVE-2021-26084, CVSS puanı: 9.8) başka bir kritik uzaktan kod yürütme kusurunun, güvenliği ihlal edilmiş sunuculara kripto para madencileri yüklemek için vahşi ortamda aktif olarak silahlandırılmasından bir yıldan kısa bir süre sonra geldi.
Volexity, “Saldırganlar bu tür bir güvenlik açığından yararlanarak son derece hassas sistemlere ve ağlara doğrudan erişim elde edebilir.” Dedi. “Ayrıca, bu sistemlerin uygun izleme veya günlüğe kaydetme yeteneklerinden yoksun oldukları için araştırılması genellikle zor olabilir.”