Una falla de seguridad crítica ahora parcheada que afecta a Atlassian Confluence Server que salió a la luz hace unos meses está siendo explotada activamente para la minería ilícita de criptomonedas en instalaciones sin parches.
«Si no se soluciona y se explota con éxito, esta vulnerabilidad podría usarse para múltiples y más ataques maliciosos, como una toma de dominio completa de la infraestructura y la implementación de ladrones de información, troyanos de acceso remoto (RAT) y ransomware», investigador de amenazas de Trend Micro. Sunil Bharti dijo en un informe
El problema, rastreado como CVE-2022-26134 (puntaje CVSS: 9.8), fue abordado por la compañía de software australiana en junio de 2022.
En una de las cadenas de infección observadas por la empresa de ciberseguridad, se aprovechó la falla para descargar y ejecutar un script de shell («ro.sh») en la máquina de la víctima, que, a su vez, obtuvo un segundo script de shell («ap.sh «).
El código malicioso está diseñado para actualizar el Variable de RUTA para incluir rutas adicionales como «/tmp», descargar la utilidad cURL (si aún no está presente) desde un servidor remoto, deshabilitar el firewall de iptables, abusar de la falla PwnKit (CVE-2021-4034) para obtener privilegios de root y, en última instancia, implementar el criptominero hezb.
Al igual que otros ataques de cryptojacking, el script de shell también finaliza a otros mineros de monedas de la competencia, desactiva los agentes del proveedor de servicios en la nube de Alibaba y Tencent, antes de realizar el movimiento lateral a través de SSH.
Los hallazgos reflejan intentos de explotación similares previamente revelados por encajeMicrosoft, Sophos y Akamai en junio.
El análisis de Lacework muestra además que el servidor de comando y control (C2) utilizado para recuperar el software cURL, así como el minero hezb, también distribuyó un binario ELF basado en Golang llamado «kik» que permite que el malware elimine los procesos de interés.
Se recomienda a los usuarios que prioricen la reparación de la falla, ya que los actores de amenazas podrían abusar de ella para otros fines nefastos.
«Los atacantes podrían aprovechar la inyección de su propio código para la interpretación y obtener acceso al dominio de Confluence al que apuntan, así como realizar ataques que van desde controlar el servidor para actividades maliciosas posteriores hasta dañar la infraestructura misma», dijo Bharti.