Siber güvenlik araştırmacıları, adı verilen gizli bir arka kapı keşfettiler. atık Atlassian Confluence Veri Merkezi ve Sunucusunda yakın zamanda açıklanan bir güvenlik açığının başarıyla kullanılmasının ardından devreye alınan bu sistem.
Aon’un Stroz Friedberg Olay Müdahale Hizmetleri, “Kötü amaçlı yazılım kalıcı bir arka kapı görevi görüyor ve Confluence’a yama uygulanarak düzeltilmiyor.” söz konusu Bu hafta başlarında yayınlanan bir analizde.
“Arka kapı, Confluence’tan veri sızmasına ek olarak diğer ağ kaynaklarına yanal hareket olanağı sağlıyor. Daha da önemlisi, saldırganlar Confluence’da kimlik doğrulaması yapmadan arka kapıya uzaktan erişebilir.”
Siber güvenlik kuruluşu tarafından belgelenen saldırı zinciri, Atlassian’da yetkisiz Confluence yönetici hesapları oluşturmak ve Confluence sunucularına erişmek için kötüye kullanılabilecek kritik bir hata olan CVE-2023-22515’in (CVSS puanı: 10,0) istismar edilmesini gerektiriyordu.
Atlassian, o zamandan beri CVE-2023-22518 (CVSS puanı: 10.0) olarak bilinen ve bir saldırganın hileli bir yönetici hesabı oluşturmak için yararlanabileceği ve gizliliğin, bütünlüğün ve kullanılabilirliğin tamamen kaybolmasıyla sonuçlanan ikinci bir kusuru açıkladı.
En son saldırıyı öne çıkaran şey, saldırganın CVE-2023-22515 aracılığıyla ilk erişimi elde etmesi ve kimlik doğrulaması yapılmamış oturum açma sayfası da dahil olmak üzere sunucudaki her web sayfasına, herhangi bir kimlik doğrulama işlemine ihtiyaç duymadan kalıcı uzaktan erişim sağlayan yeni bir web kabuğu yerleştirmesidir. geçerli kullanıcı hesabı.
Bir yükleyici ve veri yükünden oluşan web kabuğu pasiftir ve belirli bir parametreyle eşleşen bir istek sağlanana kadar isteklerin fark edilmeden içinden geçmesine izin verir; bu noktada bir dizi eylem gerçekleştirerek kötü amaçlı davranışını tetikler.
Bu, yeni bir yönetici hesabı oluşturmayı, adli takibi kapatmak için günlükleri temizlemeyi, temeldeki sunucuda rastgele komutlar çalıştırmayı, dosyaları numaralandırmayı, okumayı ve silmeyi ve Atlassian ortamı hakkında kapsamlı bilgiler derlemeyi içerir.
Aon’a göre yükleyici bileşeni normal bir Confluence eklentisi gibi davranır ve yükün şifresinin çözülmesinden ve başlatılmasından sorumludur.
Güvenlik araştırmacısı Zachary Reichert, “Web kabuğu işlevlerinin birçoğu Confluence’a özgü API’lere bağlı” dedi.
“Ancak eklenti ve yükleyici mekanizması yalnızca ortak Atlassian API’lerine bağlı görünüyor ve bir saldırganın eklentiyi yükleyebileceği JIRA, Bitbucket veya diğer Atlassian ürünlerine potansiyel olarak uygulanabilir.”