{"id":376847,"date":"2022-09-22T04:45:33","date_gmt":"2022-09-22T06:45:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-ciblant-des-serveurs-atlassian-confluence-non-corriges-pour-deployer-des-crypto-mineurs\/"},"modified":"2022-09-22T04:45:34","modified_gmt":"2022-09-22T06:45:34","slug":"des-pirates-ciblant-des-serveurs-atlassian-confluence-non-corriges-pour-deployer-des-crypto-mineurs","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-ciblant-des-serveurs-atlassian-confluence-non-corriges-pour-deployer-des-crypto-mineurs\/","title":{"rendered":"Des pirates ciblant des serveurs Atlassian Confluence non corrig\u00e9s pour d\u00e9ployer des crypto-mineurs"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une faille de s\u00e9curit\u00e9 critique maintenant corrig\u00e9e affectant Atlassian Confluence Server qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e il y a quelques mois est activement exploit\u00e9e pour l&#8217;extraction illicite de crypto-monnaie sur des installations non corrig\u00e9es.<\/p>\n<p>&#8220;Si elle n&#8217;est pas corrig\u00e9e et exploit\u00e9e avec succ\u00e8s, cette vuln\u00e9rabilit\u00e9 pourrait \u00eatre utilis\u00e9e pour des attaques multiples et plus malveillantes, telles qu&#8217;une prise de contr\u00f4le compl\u00e8te du domaine de l&#8217;infrastructure et des voleurs d&#8217;informations de d\u00e9ploiement, des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) et des ransomwares&#8221;, a d\u00e9clar\u00e9 un chercheur sur les menaces de Trend Micro. Sunil Bharti <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/i\/atlassian-confluence-vulnerability-cve-2022-26134-abused-for-cryptocurrency-mining-other-malware.html\" target=\"_blank\">a dit<\/a> dans un rapport.<\/p>\n<p>Le probl\u00e8me, identifi\u00e9 comme CVE-2022-26134 (score CVSS\u00a0: 9,8), a \u00e9t\u00e9 r\u00e9solu par la soci\u00e9t\u00e9 de logiciels australienne en juin\u00a02022.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Dans l&#8217;une des cha\u00eenes d&#8217;infection observ\u00e9es par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9, la faille a \u00e9t\u00e9 exploit\u00e9e pour t\u00e9l\u00e9charger et ex\u00e9cuter un script shell (&#8220;ro.sh&#8221;) sur la machine de la victime, qui, \u00e0 son tour, a r\u00e9cup\u00e9r\u00e9 un deuxi\u00e8me script shell (&#8220;ap.sh &#8220;).<\/p>\n<p>Le code malveillant est con\u00e7u pour mettre \u00e0 jour le <a rel=\"nofollow noopener\" href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-view-and-update-the-linux-path-environment-variable\" target=\"_blank\">variable CHEMIN<\/a> pour inclure des chemins suppl\u00e9mentaires tels que &#8220;\/tmp&#8221;, t\u00e9l\u00e9chargez l&#8217;utilitaire cURL (s&#8217;il n&#8217;est pas d\u00e9j\u00e0 pr\u00e9sent) \u00e0 partir d&#8217;un serveur distant, d\u00e9sactivez le pare-feu iptables, abusez de la faille PwnKit (CVE-2021-4034) pour obtenir les privil\u00e8ges root, et finalement d\u00e9ployez le mineur crypto hezb.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"434\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663829133_611_Des-pirates-ciblant-des-serveurs-Atlassian-Confluence-non-corriges-pour.jpg\" \/><\/div>\n<p>Comme d&#8217;autres attaques de cryptojacking, le script shell met \u00e9galement fin \u00e0 d&#8217;autres mineurs de pi\u00e8ces concurrents, d\u00e9sactive les agents des fournisseurs de services cloud d&#8217;Alibaba et de Tencent, avant d&#8217;effectuer un mouvement lat\u00e9ral via SSH.<\/p>\n<p>Les d\u00e9couvertes refl\u00e8tent des tentatives d&#8217;exploitation similaires pr\u00e9c\u00e9demment divulgu\u00e9es par <a rel=\"nofollow noopener\" href=\"https:\/\/www.lacework.com\/blog\/kinsing-dark-iot-botnet-among-threats-targeting-cve-2022-26134\/\" target=\"_blank\">Dentelle<\/a>Microsoft, Sophos et <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security\/atlassian-confluence-vulnerability-observations\" target=\"_blank\">Akama\u00ef<\/a> en juin.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>L&#8217;analyse de Lacework montre en outre que le serveur de commande et de contr\u00f4le (C2) utilis\u00e9 pour r\u00e9cup\u00e9rer le logiciel cURL ainsi que le mineur hezb ont \u00e9galement distribu\u00e9 un binaire ELF bas\u00e9 sur Golang nomm\u00e9 &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/f13e48658426307d9d1434b50fa0493f566ed1f31d6e88bb4ac2ae12ec31ef1f\/\" target=\"_blank\">kik<\/a>&#8221; qui permet au logiciel malveillant de tuer les processus d&#8217;int\u00e9r\u00eat.<\/p>\n<p>Il est conseill\u00e9 aux utilisateurs de prioriser la correction de la faille car elle pourrait \u00eatre exploit\u00e9e par des acteurs malveillants \u00e0 d&#8217;autres fins n\u00e9fastes.<\/p>\n<p>&#8220;Les attaquants pourraient profiter de l&#8217;injection de leur propre code pour l&#8217;interpr\u00e9tation et acc\u00e9der au domaine Confluence cibl\u00e9, ainsi que mener des attaques allant du contr\u00f4le du serveur pour des activit\u00e9s malveillantes ult\u00e9rieures \u00e0 l&#8217;endommagement de l&#8217;infrastructure elle-m\u00eame&#8221;, a d\u00e9clar\u00e9 Bharti.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/hackers-targeting-unpatched-atlassian.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une faille de s\u00e9curit\u00e9 critique maintenant corrig\u00e9e affectant Atlassian Confluence Server qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e il y a quelques mois est activement exploit\u00e9e pour l&#8217;extraction illicite de crypto-monnaie sur des installations non corrig\u00e9es. &#8220;Si elle n&#8217;est pas corrig\u00e9e et exploit\u00e9e avec succ\u00e8s, cette vuln\u00e9rabilit\u00e9 pourrait \u00eatre utilis\u00e9e pour des attaques multiples et plus malveillantes, telles [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":376848,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[54518,4175,4168,35371,8543,79695,4158,4165,4161,9886,133,4157,4159,4171,4170,4167,4160,4163,4162,4394,185,4172,4169,8541,4166,4164],"class_list":["post-376847","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-atlassian","tag-ciblant","tag-comment-pirater","tag-confluence","tag-corriges","tag-cryptomineurs","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deployer","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/376847","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=376847"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/376847\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/376848"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=376847"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=376847"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=376847"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}