Des chercheurs en cybersécurité ont découvert une porte dérobée furtive nommée Effluence qui est déployé suite à l’exploitation réussie d’une faille de sécurité récemment révélée dans Atlassian Confluence Data Center and Server.
« Le malware agit comme une porte dérobée persistante et n’est pas corrigé en appliquant des correctifs à Confluence », explique Stroz Friedberg Incident Response Services d’Aon. dit dans une analyse publiée plus tôt cette semaine.
« La porte dérobée offre la possibilité de se déplacer latéralement vers d’autres ressources du réseau en plus de l’exfiltration des données de Confluence. Il est important de noter que les attaquants peuvent accéder à la porte dérobée à distance sans s’authentifier auprès de Confluence.
La chaîne d’attaque documentée par l’entité de cybersécurité impliquait l’exploitation de CVE-2023-22515 (score CVSS : 10,0), un bug critique d’Atlassian qui pourrait être exploité pour créer des comptes d’administrateur Confluence non autorisés et accéder aux serveurs Confluence.
Atlassian a depuis divulgué une deuxième faille connue sous le nom de CVE-2023-22518 (score CVSS : 10,0) dont un attaquant peut également profiter pour créer un compte administrateur malveillant, entraînant une perte totale de confidentialité, d’intégrité et de disponibilité.
Ce qui distingue la dernière attaque, c’est que l’adversaire a obtenu un accès initial via CVE-2023-22515 et a intégré un nouveau shell Web qui accorde un accès à distance persistant à chaque page Web du serveur, y compris la page de connexion non authentifiée, sans avoir besoin d’un compte utilisateur valide.
Le shell Web, composé d’un chargeur et d’une charge utile, est passif, permettant aux requêtes de le traverser inaperçu jusqu’à ce qu’une requête correspondant à un paramètre spécifique soit fournie, auquel cas il déclenche son comportement malveillant en exécutant une série d’actions.
Cela comprend la création d’un nouveau compte administrateur, la purge des journaux pour masquer la piste médico-légale, l’exécution de commandes arbitraires sur le serveur sous-jacent, l’énumération, la lecture et la suppression de fichiers, ainsi que la compilation d’informations détaillées sur l’environnement Atlassian.
Le composant de chargement, selon Aon, agit comme un plugin Confluence normal et est responsable du déchiffrement et du lancement de la charge utile.
« Plusieurs fonctions du shell Web dépendent d’API spécifiques à Confluence », a déclaré le chercheur en sécurité Zachary Reichert.
« Cependant, le plugin et le mécanisme de chargement semblent dépendre uniquement des API Atlassian courantes et sont potentiellement applicables à JIRA, Bitbucket ou à d’autres produits Atlassian sur lesquels un attaquant peut installer le plugin. »