Bombardiere invisibile: gli exploit di Atlassian Confluence rilasciano Web Shell in memoria

Stanno circolando nuovi exploit proof-of-concept (PoC) per un difetto ampiamente mirato di Atlassian Confluence Data Center e Confluence Server. I nuovi vettori di attacco potrebbero consentire a un utente malintenzionato di eseguire furtivamente codice arbitrario all'interno della memoria di Confluence senza toccare il file system.

I ricercatori di VulnCheck hanno monitorato gli exploit per il Vulnerabilità dell'esecuzione di codice in modalità remota (RCE) CVE-2023-22527, che è stato reso noto a gennaio. Da allora, hanno notato, il CVE è diventato un “focolaio di attività dannose”, con VulnCheck che attualmente monitora 30 exploit in the wild unici per la vulnerabilità, comprese le opzioni più recenti.

La maggior parte degli attacchi contro Confluence caricano gli “infami” Guscio Web di Godzilla. Godzilla consente agli aggressori di controllare da remoto il server compromesso, eseguire comandi arbitrari, caricare e scaricare file, manipolare database ed eseguire altre attività dannose.

Un nuovo approccio, tuttavia, utilizza un payload in memoria. Dopo aver individuato i PoC in natura utilizzando questa tecnica, i ricercatori di VulnCheck hanno sviluppato tre PoC per sondare i limiti dell'approccio in-memory.

La raffica di attività non dovrebbe sorprendere nessuno: il CTO di VulnCheck Jacob Baines dice di pensarla così gli aggressori adorano prendere di mira Confluence a causa della ricchezza di informazioni aziendali disponibili all'interno dell'applicazione, che la rende un "buon perno" in una rete interna.

"Sfruttando questo obiettivo, si ottiene una versione on-premise con una logica aziendale specifica", afferma. "È piuttosto interessante soprattutto per gli aggressori di ransomware."

Shell Web in memoria per gli exploit Atlassian Confluence

As Post del blog di VulnCheck dettagli: “C'è più di una strada per raggiungere Roma. Percorsi più furtivi generano indicatori diversi. Di particolare interesse è la Web shell in-memory, che aveva una variante preesistente... che sembra essere stata implementata in natura."

Baines spiega che uno dei PoC dell'azienda descrive in dettaglio il primo passaggio fondamentale del caricamento di Java arbitrario in memoria, un approccio di exploit popolare ma che può essere facilmente scoperto con il rilevamento degli endpoint.

"Questo è un metodo molto ovvio e facile da individuare per sfruttare Confluence", afferma. "Ma caricare Java arbitrario in memoria è utile sapere come fare, perché il passaggio successivo, la parte della shell Web, si basa su quello."

Le altre due prove di concetto di VulnCheck per CVE-2023-22527 in Confluence descrivono in dettaglio come gli autori malintenzionati potrebbero sfruttare la vulnerabilità di Confluence caricando direttamente una shell Web in memoria per ottenere accesso non autorizzato ai server Web.

Caricare ed eseguire codice dalla memoria di Confluence è un approccio molto più furtivo e armato per attaccare Confluence e ha meno probabilità di essere rilevato dai difensori, afferma Baines.

"Molti sistemi rilevano gli avversari sul sistema solo analizzando i file che vengono rilasciati su disco", afferma, aggiungendo che non esiste un ottimo modo per scansionare Java in memoria alla ricerca di web shell a causa del modo in cui è strutturato: la vera soluzione sta nel rilevandolo sulla rete.

"Ciò presenta le sue sfide, poiché tutto è crittografato e devi distribuire certificati ai client", afferma. "La risposta a lungo termine è ottenere tutto ciò che è possibile da Internet."

Baines sottolinea che Confluence ora ha più CVE diversi nell'elenco delle vulnerabilità sfruttate note (KEV) di VulCheck.

"È decisamente giunto il momento di iniziare a integrare tutto ciò con una VPN", afferma. "In definitiva, la gestione della superficie di attacco è il modo per contribuire a mitigare questi problemi più avanzati."

Rischio OGNL non limitato alla confluenza

Baines afferma che il rischio di compromesso è estremamente alto per le organizzazioni che non hanno ancora installato le patch per Confluence, considerati gli sforzi di sfruttamento di massa in corso.

"Abbiamo notato che gli aggressori hanno utilizzato questa Web shell in memoria: non si tratta di un attacco teorico", afferma. "È qualcosa che sta accadendo, quindi i difensori devono esserne consapevoli e che al momento è un rischio elevato".

Baines aggiunge che il rischio derivante dall'approccio in-memory non è limitato solo a Confluence, poiché è correlato alle espressioni Object-Graph Navigation Language (OGNL), che consentono agli sviluppatori di eseguire varie operazioni sugli oggetti Java utilizzando una sintassi semplice e concisa.

"Ciò riguarda una varietà di prodotti diversi con vulnerabilità simili: potresti utilizzare esattamente la stessa tecnica contro quegli altri prodotti", afferma. "Le organizzazioni devono evolvere un passo per iniziare a rilevare questo genere di cose, ad esempio il rilevamento basato sulla rete o la scansione della memoria Java alla ricerca di shell Web dannose."

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/application-security/stealth-bomber-atlassian-confluence-exploits-drop-web-shells-in-memory