GÜNCELLEME
Güvenlik araştırmacıları, Atlassian Confluence’daki kritik bir güvenlik açığının aktif saldırı altında olduğu ve sunucuları tam sistem ele geçirmesine açtığı konusunda uyardı.
Hata (CVE-2022-26134), Confluence Server ve Confluence Data Center’ın desteklenen tüm sürümlerini etkileyen, kimliği doğrulanmamış uzaktan kod yürütülmesine (RCE) izin veren bir komut enjeksiyon sorunudur. Volexity tarafından yapılan iki sıfır gün saldırısının adli soruşturmasına göre, kimlik bilgilerine veya kullanıcı etkileşimine ihtiyaç duymadan, Confluence sistemine özel hazırlanmış bir Web isteği göndererek bu saldırıdan yararlanılabilir.
Hiçbir Atlassian Cloud sitesi etkilenmedi.
Confluence, proje yönetimi ve ekipler arasında işbirliği için kullanılan bir uzaktan çalışma ve kurumsal çalışma alanı paketidir. Bu nedenle projeler, belirli kullanıcılar ve potansiyel olarak ortaklar ve müşteriler hakkında hassas verileri barındırır; ayrıca diğer kurumsal kaynaklar, sunucular ve sistemlerle entegre olma eğilimindedir. Başarılı bir açıktan yararlanma, saldırganların platformdan veri çekmesine ve örneğin bir fidye yazılımı saldırısının başlangıcı olarak bir kuruluşun ağını daha derine inmesine olanak tanır.
Volexity araştırmacıları, “Saldırganlar bu tür bir güvenlik açığından yararlanarak son derece hassas sistemlere ve ağlara doğrudan erişim sağlayabilirler” dedi.
Araştırmacılar, yöneticilere yamalar uygulanana kadar Confluence sunucularına harici erişimi derhal kaldırmalarını tavsiye etti. Bu arada, Atlassian tavsiyesini onayladı Bu, 3 Haziran’da ET iş kapanışına doğru yayılan yamalar ile bir düzeltmeyi hızlandırdı.
Bir sözcü, Dark Reading’e şirketin “potansiyel olarak savunmasız tüm müşterilerle doğrudan iletişime geçerek düzeltmeyi bildirdiğini” söyledi.
Sıfır Gün Atlassian Confluence Saldırıları
Soruşturması sırasında Volexity, her iki durumda da aynı olan iki durumda saldırganların yolunu izledi. Başlamak için, suçlular etkileşimli bir web kabuğu oluşturmak için güvenlik açığından yararlandı (belleğe kötü amaçlı bir sınıf dosyası yazarak), bu da onlara diske herhangi bir şey yazmak zorunda kalmadan sunucuya kalıcı arka kapı erişimi sağladı.
Bundan sonra firma, tehdit aktörlerinin arkasında
Yalnızca bellekten oluşan esnek web kabukları oluşturmak için açık kaynaklı bir araç olan sunucuya implant. ile entegrasyona da olanak sağlar. metercüman
ve kobalt grevi, yanal hareket için en sık kullanılan iki araç. Meterpreter, kullanıcıların çeşitli Metasploit modüllerini (yani, bilinen hatalar için çalışan açıklar) getirmesine izin verirken, Cobalt Strike, kötü adamlar tarafından ağdaki yeni hedefleri araştırmak ve bunlardan ödün vermek için sıklıkla kullanılan bir kalem testi aracıdır.
Behinder yerleştirildikten sonra, Volexity rakiplerin devam ettiğini gördü. iki ek web kabuğu yükleyin diske: Çin Doğrayıcı ve özel bir dosya yükleme kabuğu. China Chopper, saldırganların istemci tarafı bir uygulama kullanarak virüslü bir Web sunucusuna erişimini korumasını sağlayan, on yıldan beri var olan bir araçtır. İstemci, hedefi kontrol etmek için gereken tüm mantığı içerir, bu da kullanımı çok kolaylaştırır.
Bu temel bulaşma kurulumu bir kez yapıldığında, saldırganlar, keşif amaçlı olanlar (işletim sistemini kontrol etme, parola depolarını arama) da dahil olmak üzere çeşitli komutlar çalıştırdı; yerel Confluence veritabanından bilgi ve kullanıcı tablolarının çalınması; Volexity, istismar kanıtlarını ortadan kaldırmak için Web erişim günlüklerini değiştirmeyi söyledi.
Firma iki sıfır gün saldırısı tespit ederken, faaliyetin daha yaygın olması muhtemel. Araştırmacılar, “Volexity’nin bu istismarın şu anda birden fazla tehdit aktörü tarafından kullanıldığına ve bu saldırganların muhtemel menşe ülkesinin Çin olduğuna inanmak için nedenleri var” dedi.
Birleşme Uzlaşması Nasıl Önlenir
Araştırmacılar, güvenliği aşmayı önlemek için yama uygulamanın ötesinde en iyi seçeneğin Confluence Sunucusu ve Confluence Veri Merkezi örneklerini devre dışı bırakmak, tüm harici erişimi kaldırmak veya yalnızca güvenilir uç noktalara erişimi kısıtlamak için IP adresi güvenli listeleme kurallarını kullanmak olduğunu belirtti. Kuruluşlar, Web uygulaması güvenlik duvarlarına (WAF’ler) RCE enjeksiyon güvenlik açıklarına karşı savunma sağlayan Java seri durumdan çıkarma kuralları da ekleyebilir.
Bir enfeksiyonun yamanın ötesinde de devam edebileceği göz önüne alındığında, herhangi bir uzlaşma belirtilerini ortaya çıkarmak da önemlidir.
Tenable’da kıdemli personel araştırma mühendisi Satnam Narang, “Bir web kabuğunun varlığı, bir saldırgana, bunun gibi bir güvenlik açığı yamalandıktan sonra bile güvenliği ihlal edilmiş bir sisteme erişimi sürdürme yeteneği sağlar” diyor. “Aynısını, saldırganların güvenlik açığı bulunan Microsoft Exchange Server örneklerine web kabukları yerleştirdiği ProxyShell güvenlik açığından yararlanmanın ardından da gözlemledik.”
Bununla birlikte, Volexity, “uygun izleme veya kayıt yeteneklerinden yoksun oldukları için bu sistemlerin araştırılması genellikle zor olabilir” dedi.
Volexity araştırmacıları şu tavsiyelerde bulundu:
- İnternete yönelik Web hizmetlerinin, bir olay durumunda yardımcı olmak için güçlü izleme yeteneklerine ve günlük tutma ilkelerine sahip olduğundan emin olun
- İnternete bakan web sunucularından ilgili günlük dosyalarını bir SIEM veya Syslog sunucusuna gönderin
- Şüpheli işlemler için Web uygulama işlemlerinin alt işlemlerini izleyin (bu durumda Python kabuğu buna iyi bir örnektir)
Geçmiş bir başlangıçsa, bu konuda uyanık olmakta fayda var: Saldırganlar, geçen sonbaharda bir CISA uyarısını tetikleyecek kadar büyük hacimlerde başka bir RCE kusurunun kitlesel sömürüsünün gösterdiği gibi, Confluence’ı popüler bir hedef olarak görüyorlar.
Dark Reading’e konuşan Narang, “Şu anda bu güvenlik açığı için herhangi bir istismar ayrıntıları veya kavram kanıtı bulunmamakla birlikte, geçmişten saldırganların Confluence gibi Atlassian ürünlerini hedef alma fırsatından keyif aldıklarını biliyoruz.” “Kuruluşları, yamalar çıkana kadar azaltma seçeneklerini gözden geçirmeye teşvik ediyoruz.”
Sevco Security’nin kurucu ortağı olan Greg Fitzgerald, kuruluşları genellikle sıfır gün saldırılarını önlemek için proaktif adımlar atmaları konusunda da uyarıyor.
Dark Reading, “Bu istismara karşı savunmasız kuruluşlar, arkalarına yaslanıp bunun tipik yama yönetimi süreçleriyle çözüleceğini varsayamazlar,” diyor ve ekliyor: “Atlassian bir yama yayınladığında, bu çoğu kuruluş için ilk adım olacaktır. Ancak güvenlik açıklarını yamalamak, bildiğiniz sistemler için harika olsa da, kuruluşların büyük çoğunluğu saldırı yüzeylerinin tamamını bilmiyor. Bunun nedeni, dinamik bir ortamda doğru bir BT varlık envanteri tutmanın son derece zor olmasıdır. Tehdit aktörleri bunu uzun zaman önce anladı ve onu kullanmak için gece gündüz çalışıyor. Bunun gibi tehditlerle mücadelenin ilk adımı, güvenlik programınız için temel bir kontrol işlevi görecek tüm kurumsal varlıkların sürekli güncellenen, doğru bir envanterini oluşturmaktır.”
Bu gönderi, hatanın artık yamasız olmadığını yansıtmak için 04:45 ET’de güncellendi.