Tehdit aktörleri kritik bir uzaktan kod yürütme (RCE) Atlassian hatasını istismar etmeye devam ediyor Ocak ayında keşfedildiHedeflenen bulut ortamlarını kripto madenciliği ağlarına dönüştüren yeni saldırı vektörleriyle.
Trend Micro, Confluence Veri Merkezi ve Confluence Sunucusunda CVE-2023-22527 olarak izlenen açığı kullanan iki ayrı saldırıyı ortaya çıkardı. kripto para korsanlığı saldırılarında ağ kaynaklarını tüketen. Sunucu, ekiplerin ve kuruluşların içerik oluşturması, paylaşması ve üzerinde işbirliği yapması için tasarlanmış bir işbirliği ve dokümantasyon platformu olan Atlassian Confluence’ın kurumsal düzeydeki dağıtımları içindir.
Hata keşfedildiğinde, Ortak Güvenlik Açığı Puanlama Sistemi’nde (CVSS) 10 üzerinden 10 puan aldı, bu nedenle araştırmacılar bunun büyük bir potansiyele sahip olduğunu hemen anladılar. saldırılarda istismar arasında değişen fidye yazılımı ile siber casusluk. Şimdi, Atlassian’ın açığı keşfetmesi ve ardından yama yapmasından sekiz ay sonra, kripto para korsanlığı da bu listeye eklenebilir. bir blog yazısına göre Trend Micro tarafından 28 Ağustos’ta yayınlandı.
“Saldırılar, kabuk komut dosyalarının dağıtımı ve benzeri yöntemleri kullanan tehdit aktörlerini içerir. XMRig madencileriTrend Micro’da tehdit araştırmaları kıdemli mühendisi olan Abdelrahman Esmail, gönderisinde “SSH uç noktalarını hedeflemek, rekabet eden kripto madenciliği süreçlerini öldürmek ve cron işleri aracılığıyla kalıcılığı sağlamak” ifadelerini kullandı.
Trend Micro ayrıca binlerce başka suistimal girişimini de keşfetti maksimum kritik CVE-2023-22527 Son birkaç aydır, sunucuyu kullanan ve ortamlarını henüz düzeltmemiş olanların bunu mümkün olan en kısa sürede yapmaları önerildi.
CVE-2023-22527 için Yeni Saldırı Vektörleri
Kimliği doğrulanmamış bir saldırgan, CVE-2023-22527’yi kötüye kullanarak şablon enjeksiyonu gerçekleştirebilir ve etkilenen örnekte RCE’yi etkinleştirebilir.
Trend Micro, hatayı kripto para korsanlığı saldırıları için kullanan üç tehdit aktörü keşfetti. Ancak, gönderide yalnızca iki farklı saldırı vektörü açıklanıyor. İlki, halka açık bir Confluence Server uygulamasındaki hatayı istismar etti ortama ilk erişimSaldırganlar daha sonra ELF dosya yükü aracılığıyla XMRig madencisini çalıştırdı ve bu süreçte sistem kaynaklarını ele geçirdi.
İkinci saldırı vektörü çok daha karmaşıktır. Trend Micro’ya göre, müşteri ortamındaki tüm erişilebilir uç noktalar için Güvenli Kabuk (SSH) üzerinden bir kabuk dosyası aracılığıyla madenci etkinliğini yürütmek için bir kabuk betiği kullandı. Saldırganlar kabuk dosyasını indirdi ve bellekten bash ile çalıştırdı, ardından bilinen tüm kripto madenciliği işlemlerini ve */tmp/* dizinlerinden çalıştırılan tüm işlemleri öldürdü. Ardından, tüm cron işlerini silerek, komut ve kontrol (C2) sunucu iletişimlerini kontrol etmek için her beş dakikada bir çalışan yeni bir iş eklediler.
Saldırganlar, tespit edilmekten kaçınmak için Alibaba Cloud Shield IP adresini engellerken Alibaba Cloud Shield gibi güvenlik hizmetlerini de kaldırdılar. Kripto para hırsızlığı saldırı sürecinin ilerleyen aşamalarında başlamadan önce saldırgan, sistemde bulunan diğer güvenlik araçlarını da kapattı.
Bu arada, saldırganlar mevcut makinenin IP adresini belirlediler ve tüm olası kullanıcılar, IP adresleri ve anahtarlar hakkında veri topladılar, bu bilgileri kullanarak SSH aracılığıyla diğer uzak sistemleri hedef aldılar ve daha fazla kripto madenciliği faaliyeti yürüttüler, Esmail gönderide açıkladı. Bu yapıldıktan sonra, saldırgan hedef alınan diğer ana bilgisayarlara SSH aracılığıyla otomatik saldırılar başlattı ve ardından diğer cron işleri aracılığıyla sunucuya erişimi sürdürdü.
“Tüm bulutun izleme ve güvenlik hizmetleri sonlandırıldı veya silindiğinde, saldırgan CVE-2023-22527’yi kullanan giriş noktası sürecini sonlandırır ve madencilik faaliyetlerine başlamak için XMRig madencisini indirir,” diye yazdı Esmail. Kripto madenciliği başladıktan sonra, saldırganlar günlük ve bash geçmişini temizleyerek faaliyetlerinin tüm izlerini ortadan kaldırır.
Atlassian Confluence Saldırılarına Karşı Daha Fazla Azaltma
Zirvede kalmak hata düzeltme Yazılım, işletim sistemleri ve uygulamalar için bu tür ihlalleri önlemenin en etkili yoludur güvenlik açıklarının istismar edilmesini önlemekancak Trend Micro bulut ortamlarının yöneticileri için başka öneriler de yaptı. Bunlar arasında, istismar tabanlı saldırıların etkisini azaltabilen ağ segmentasyonunun uygulanması ve kuruluşların istismar gerçekleşmeden önce altyapıdaki zayıflıkları ortaya çıkarmaya ve gidermeye yardımcı olmak için düzenli güvenlik denetimleri ve güvenlik açığı değerlendirmeleri yapması yer alıyor. Bunun ötesinde, kuruluşlar bir sağlam olay müdahale planı uzlaşma durumunda hızlı ve etkili bir tepki verilmesini sağlayacak şekilde yerinde.
