Atlassian ha advertido sobre una vulnerabilidad crítica de ejecución remota de código sin parches que afecta a los productos Confluence Server y Data Center que, según dijo, se está explotando activamente en la naturaleza.
La compañía de software australiana le dio crédito a la firma de seguridad cibernética Volexity por identificar la falla, que está siendo rastreada como CVE-2022-26134.
Atlassian ha sido informado de la explotación activa actual de una vulnerabilidad de ejecución remota de código no autenticado de gravedad crítica en Confluence Data Center and Server. dijo en un aviso.
«Actualmente no hay versiones fijas de Confluence Server y Data Center disponibles. Atlassian está trabajando con la máxima prioridad para emitir una solución». Los detalles de la falla de seguridad se han retenido hasta que haya un parche de software disponible.
Todas las versiones compatibles de Confluence Server y Data Center se ven afectadas, aunque se espera que todas las versiones de la solución empresarial sean potencialmente vulnerables. La primera versión afectada aún no se ha determinado.
En ausencia de una solución, Atlassian insta a los clientes a restringir las instancias de Confluence Server y Data Center de Internet o considerar deshabilitar las instancias de Confluence Server y Data Center por completo.
Volexity, en una divulgación independiente, dijo que detectó la actividad durante el fin de semana del Día de los Caídos en los EE. UU. como parte de una investigación de respuesta a incidentes.
La cadena de ataque implicó aprovechar el exploit de día cero de Atlassian, una vulnerabilidad de inyección de comandos, para lograr la ejecución remota de código no autenticado en el servidor, lo que permitió al actor de amenazas usar el punto de apoyo para colocar el shell web Behinder.
«Detrás proporciona capacidades muy poderosas a los atacantes, incluidos webshells de solo memoria y soporte integrado para la interacción con Meterpreter y Cobalt Strike», dijeron los investigadores. dijo. «Al mismo tiempo, no permite la persistencia, lo que significa que un reinicio o reinicio del servicio lo eliminará».
Posteriormente, se dice que el shell web se empleó como un conducto para implementar dos shells web adicionales en el disco, incluido Helicóptero chino y un shell de carga de archivos personalizado para filtrar archivos arbitrarios a un servidor remoto.
El desarrollo se produce menos de un año después de que otra falla crítica de ejecución remota de código en Atlassian Confluence (CVE-2021-26084, puntaje CVSS: 9.8) se armara activamente para instalar mineros de criptomonedas en servidores comprometidos.
«Al explotar este tipo de vulnerabilidad, los atacantes pueden obtener acceso directo a sistemas y redes altamente sensibles», dijo Volexity. «Además, estos sistemas a menudo pueden ser difíciles de investigar, ya que carecen de las capacidades adecuadas de monitoreo o registro».