Investigadores de ciberseguridad han descubierto una puerta trasera sigilosa llamada Efluencia<\/strong> que se implementa luego de la explotaci\u00f3n exitosa de una falla de seguridad recientemente revelada en el centro de datos y el servidor de Atlassian Confluence.<\/p>\n “El malware act\u00faa como una puerta trasera persistente y no se soluciona aplicando parches a Confluence”, Stroz Friedberg Incident Response Services de Aon dicho<\/a> en un an\u00e1lisis publicado a principios de esta semana.<\/p>\n “La puerta trasera proporciona capacidad de movimiento lateral a otros recursos de la red, adem\u00e1s de la filtraci\u00f3n de datos de Confluence. Es importante destacar que los atacantes pueden acceder a la puerta trasera de forma remota sin autenticarse en Confluence”.<\/p>\n La cadena de ataque documentada por la entidad de ciberseguridad implic\u00f3 la explotaci\u00f3n de CVE-2023-22515 (puntaje CVSS: 10.0), un error cr\u00edtico en Atlassian que podr\u00eda aprovecharse para crear cuentas de administrador de Confluence no autorizadas y acceder a servidores de Confluence.<\/p>\n Desde entonces, Atlassian ha revelado una segunda falla conocida como CVE-2023-22518 (puntaje CVSS: 10.0) que un atacante tambi\u00e9n puede aprovechar para configurar una cuenta de administrador fraudulenta, lo que resulta en una p\u00e9rdida total de confidencialidad, integridad y disponibilidad.<\/p>\n Lo que hace que el \u00faltimo ataque se destaque es que el adversario obtuvo acceso inicial a trav\u00e9s de CVE-2023-22515 e incorpor\u00f3 un novedoso shell web que otorga acceso remoto persistente a cada p\u00e1gina web del servidor, incluida la p\u00e1gina de inicio de sesi\u00f3n no autenticada, sin necesidad de un cuenta de usuario v\u00e1lida.<\/p>\n El web shell, compuesto por un cargador y una carga \u00fatil, es pasivo, lo que permite que las solicitudes pasen desapercibidas hasta que se proporciona una solicitud que coincide con un par\u00e1metro espec\u00edfico, momento en el que desencadena su comportamiento malicioso al ejecutar una serie de acciones.<\/p>\n Esto comprende crear una nueva cuenta de administrador, depurar registros para cubrir el rastro forense, ejecutar comandos arbitrarios en el servidor subyacente, enumerar, leer y eliminar archivos, y compilar informaci\u00f3n extensa sobre el entorno Atlassian.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-La-puerta-trasera-Effluence-persiste-a-pesar-de-parchear.jpg\")
<\/a><\/center><\/div>\n