Atlassian Confluence Veri Merkezi ve Confluence Server kusurunu hedef alan yeni kavram kanıtlama (PoC) saldırıları ortalıkta dolaşıyor. Yeni saldırı vektörleri, kötü niyetli bir aktörün Confluence’ın belleğinde dosya sistemine dokunmadan gizlice rastgele kod yürütmesine olanak tanıyabilir.
VulnCheck’teki araştırmacılar güvenlik açıklarını takip ediyor CVE-2023-22527 uzaktan kod yürütme (RCE) güvenlik açığıOcak ayında açıklandı. CVE’nin o zamandan bu yana “kötü niyetli faaliyetlerin yuvası” haline geldiğini belirttiler; VulnCheck şu anda daha yeni seçenekler de dahil olmak üzere güvenlik açığına yönelik 30 benzersiz kullanım alanını izliyor.
Confluence’a yönelik saldırıların çoğu “rezil” olanları yüklüyor Godzilla Web kabuğu. Godzilla, saldırganların ele geçirilen sunucuyu uzaktan kontrol etmesine, rastgele komutlar yürütmesine, dosya yüklemesine ve indirmesine, veritabanlarını değiştirmesine ve diğer kötü amaçlı etkinlikleri gerçekleştirmesine olanak tanır.
Ancak yeni bir yaklaşım, bellek içi veri yükünü kullanmaktır. Bu tekniği kullanarak mevcut PoC’leri tespit ettikten sonra VulnCheck araştırmacıları, bellek içi yaklaşımın sınırlarını araştırmak için kendilerine ait üç PoC geliştirdi.
Faaliyet telaşı kimseyi şaşırtmamalı: VulnCheck CTO’su Jacob Baines şöyle düşündüğünü söylüyor: saldırganlar Confluence’ı hedef almayı sever Uygulamada mevcut olan iş bilgilerinin zenginliği nedeniyle, bu da onu dahili bir ağ için “iyi bir pivot” haline getirir.
“Bu hedeften yararlanarak, içinde işe özgü mantığın yer aldığı şirket içi bir sürüm elde edersiniz” diyor. “Özellikle fidye yazılımı saldırganları için oldukça çekici.”
Atlassian Confluence İstismarları için Bellek İçi Web Kabukları
Gibi VulnCheck’in blog yazısı ayrıntılar, “Roma’ya ulaşmanın birden fazla yolu var. Daha gizli yollar farklı göstergeler oluşturur. Özellikle ilgi çekici olan, önceden var olan bir varyantı olan ve vahşi doğada konuşlandırılmış gibi görünen bellek içi Web kabuğudur.”
Baines, firmanın PoC’lerinden birinin, rastgele Java’yı belleğe yüklemenin temel ilk adımını ayrıntılarıyla anlattığını, popüler bir istismar yaklaşımı olan ancak uç nokta tespiti ile kolayca keşfedilebilen bir yaklaşım olduğunu açıklıyor.
“Bu, Confluence’tan yararlanmanın çok açık ve yakalanması kolay bir yöntemi” diyor. “Ancak belleğe isteğe bağlı Java yüklemek, nasıl yapılacağını bilmek açısından faydalıdır, çünkü bir sonraki adım olan Web kabuğu kısmı bunun üzerine kuruludur.”
VulnCheck’in Confluence’daki CVE-2023-22527 için diğer iki kavram kanıtı, kötü niyetli aktörlerin, Web sunucularına yetkisiz erişim elde etmek için doğrudan bellek içi Web kabuğu yükleyerek Confluence güvenlik açığından nasıl yararlanabileceğini ayrıntılarıyla anlatıyor.
Baines, Confluence’ın hafızasına kod yüklemenin ve bu hafızadan kod çalıştırmanın, Confluence’a saldırmak için çok daha gizli ve silahlı bir yaklaşım olduğunu ve savunucular tarafından tespit edilmesinin daha az olası olduğunu söylüyor.
“Pek çok sistem, sistemdeki rakipleri yalnızca diske bırakılan dosyaları analiz ederek tespit ediyor” diyor ve yapısal yapısından dolayı bellekteki Java’yı Web kabukları için taramanın harika bir yolu olmadığını, gerçek çözümün burada yattığını ekliyor. ağda algılanıyor.
“Her şey şifrelendiğinden ve istemcilere sertifika dağıtmanız gerektiğinden bunun da kendine has zorlukları var” diyor. “Uzun vadeli cevap, mümkün olan her şeyi İnternet’ten almaktır.”
Baines, Confluence’ın artık VulCheck’in Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) listesinde birden fazla farklı CVE’ye sahip olduğuna dikkat çekiyor.
“Bunu kesinlikle bir VPN’in arkasına koymanın zamanı geldi” diyor. “Sonuçta, saldırı yüzeyi yönetimi bu daha gelişmiş sorunların azaltılmasına yardımcı olmanın yoludur.”
OGNL Riski Kesişmeyle Sınırlı Değil
Baines, devam eden kitlesel sömürü çabaları göz önüne alındığında, Confluence’a hala yama yapmamış kuruluşlar için uzlaşma riskinin son derece yüksek olduğunu söylüyor.
“Saldırganların bu bellek içi Web kabuğunu kullandığını görüyoruz; bu teorik bir saldırı değil” diyor. “Bu olan bir şey, bu yüzden savunmacıların bunun farkında olması gerekiyor ve şu anda bu yüksek bir risk.”
Baines, bellek içi yaklaşımdan kaynaklanan riskin yalnızca Confluence ile sınırlı olmadığını, bunun geliştiricilerin basit, kısa bir sözdizimi kullanarak Java nesneleri üzerinde çeşitli işlemler gerçekleştirmesine olanak tanıyan Nesne Grafiği Gezinme Dili (OGNL) ifadeleriyle ilgili olduğunu ekliyor.
“Bu, benzer güvenlik açıklarına sahip çeşitli farklı ürünleri etkiliyor; bu tekniğin aynısını diğer ürünlere karşı da kullanabilirsiniz” diyor. “Kuruluşların, ağ tabanlı algılama veya Java belleğini kötü amaçlı Web kabuklarına karşı tarama gibi bu tür şeyleri yakalamaya başlamak için bir adım geliştirmesi gerekiyor.”