В настоящее время распространяются новые эксплойты для проверки концепции (PoC) для широко целевой уязвимости Atlassian Confluence Data Center и Confluence Server. Новые векторы атак могут позволить злоумышленнику незаметно выполнить произвольный код в памяти Confluence, не затрагивая файловую систему.
Исследователи VulnCheck отслеживают эксплойты для CVE-2023-22527 уязвимость удаленного выполнения кода (RCE), о котором стало известно в январе. С тех пор CVE стала «очагом вредоносной активности», отметили они, и в настоящее время VulnCheck отслеживает 30 уникальных эксплойтов этой уязвимости, включая самые последние варианты.
Большинство атак на Confluence загружают «печально известные» Веб-оболочка Годзиллы. Godzilla позволяет злоумышленникам удаленно управлять взломанным сервером, выполнять произвольные команды, загружать и скачивать файлы, манипулировать базами данных и выполнять другие вредоносные действия.
Однако новый подход заключается в использовании полезной нагрузки в памяти. Обнаружив существующие PoC, использующие эту технику, исследователи VulnCheck разработали три собственных PoC, чтобы исследовать ограничения подхода в памяти.
Шквал активности никого не должен удивлять: технический директор VulnCheck Джейкоб Бэйнс говорит, что, по его мнению, злоумышленники любят атаковать Confluence из-за обилия деловой информации, доступной в приложении, что делает его «хорошим стержнем» во внутренней сети.
«Используя эту цель, вы получаете локальную версию со специфичной для бизнеса логикой», — говорит он. «Это довольно привлекательно, особенно для злоумышленников-вымогателей».
Веб-оболочки в памяти для эксплойтов Atlassian Confluence
As Сообщение в блоге VulnCheck подробнее: «Есть несколько способов добраться до Рима. Более скрытые пути генерируют другие индикаторы. Особый интерес представляет веб-оболочка в памяти, у которой уже существовал вариант… который, судя по всему, был развернут в реальных условиях».
Бэйнс объясняет, что в одном из PoC компании подробно описан основной первый шаг загрузки произвольной Java в память — популярный подход к использованию эксплойтов, но который легко обнаружить с помощью обнаружения конечных точек.
«Это очень очевидный и простой в обнаружении метод использования Confluence», — говорит он. «Но загружать произвольную Java в память полезно знать, как это сделать, потому что следующий шаг — часть веб-оболочки — основывается на этом».
Два других доказательства концепции CVE-2023-22527 от VulnCheck в Confluence подробно описывают, как злоумышленники могут использовать уязвимость Confluence, загружая веб-оболочку в памяти напрямую для получения несанкционированного доступа к веб-серверам.
По словам Бейнса, загрузка и выполнение кода из памяти Confluence — это гораздо более скрытный и мощный подход к атаке на Confluence, который с меньшей вероятностью будет обнаружен защитниками.
«Многие системы обнаруживают злоумышленников в системе только путем анализа файлов, которые сбрасываются на диск», — говорит он, добавляя, что не существует хорошего способа сканирования Java в памяти на предмет веб-оболочек из-за ее структуры — настоящее решение заключается в обнаружить его в сети.
«Это имеет свои проблемы, поскольку все зашифровано, и вам приходится развертывать сертификаты для клиентов», — говорит он. «Долгосрочный ответ — получить от Интернета все, что можно».
Бэйнс отмечает, что теперь в списке известных эксплуатируемых уязвимостей (KEV) VulCheck имеется несколько различных CVE.
«Определенно пришло время использовать это в VPN», — говорит он. «В конечном счете, управление поверхностями атак — это способ помочь смягчить эти более сложные проблемы».
Риск OGNL не ограничивается слиянием
Бэйнс говорит, что риск компрометации чрезвычайно высок для организаций, которые до сих пор не обновили Confluence, учитывая предпринимаемые усилия по массовой эксплуатации.
«Мы видим, что злоумышленники использовали эту веб-оболочку в памяти — это не теоретическая атака», — говорит он. «Это то, что происходит, поэтому защитники должны знать об этом и о том, что на данный момент это высокий риск».
Бэйнс добавляет, что риск, связанный с подходом в памяти, не ограничивается только Confluence, поскольку он связан с выражениями языка объектно-графической навигации (OGNL), которые позволяют разработчикам выполнять различные операции над объектами Java, используя простой и лаконичный синтаксис.
«Это затрагивает множество различных продуктов со схожими уязвимостями — вы можете использовать ту же самую технику против этих других продуктов», — говорит он. «Организации должны разработать меры, чтобы начать выявлять подобные вещи, например, сетевое обнаружение или сканирование памяти Java на наличие вредоносных веб-оболочек».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/stealth-bomber-atlassian-confluence-exploits-drop-web-shells-in-memory
- :имеет
- :является
- :нет
- 30
- a
- доступ
- активно
- деятельность
- актер
- актеры
- добавить
- Добавляет
- продвинутый
- влияет
- После
- против
- позволять
- позволяет
- an
- анализ
- и
- ответ
- появляется
- Применение
- подхода
- произвольный
- МЫ
- AS
- At
- Atlassian
- атаковать
- Нападавшие
- Атакующий
- нападки
- привлекательный
- доступен
- знать
- основной
- BE
- , так как:
- становиться
- было
- за
- Блог
- строит
- бизнес
- но
- by
- CAN
- ловля
- Центр
- сертификаты
- проблемы
- оборотный
- клиентов
- код
- скомпрометированы
- Ослабленный
- сама концепция
- краткий
- слияние
- контроль
- может
- CTO
- В настоящее время
- CVE
- данным
- Центр обработки данных
- базы данных
- Защитники
- определенно
- развертывание
- развернуть
- подробность
- подробнее
- обнаруживать
- обнаруженный
- обнаружения
- обнаружение
- развитый
- застройщиков
- различный
- непосредственно
- открытый
- do
- скачать
- Падение
- упал
- легко
- усилия
- включить
- зашифрованный
- Конечная точка
- Эфир (ETH)
- многое
- развивается
- точный
- пример
- выполнять
- проведение
- выполнение
- Объясняет
- Эксплуатировать
- Эксплуатируемый
- эксплуатации
- использует
- выражения
- чрезвычайно
- Файл
- Файлы
- Фирма
- First
- недостаток
- суматоха
- Что касается
- от
- Gain
- порождать
- получающий
- данный
- хорошо
- большой
- было
- Случай
- Есть
- he
- помощь
- High
- Как
- How To
- HTTPS
- in
- В том числе
- индикаторы
- позорный
- информация
- интерес
- в нашей внутренней среде,
- Интернет
- в
- вопросы
- IT
- ЕГО
- Джекоб
- январь
- Java
- JPG
- всего
- Знать
- известный
- язык
- Меньше
- лежит
- Вероятно
- Ограниченный
- рамки
- Список
- загрузка
- погрузка
- логика
- долгосрочный
- серия
- любят
- ДЕЛАЕТ
- злонамеренный
- управление
- манипулировать
- Память
- метод
- смягчать
- момент
- БОЛЕЕ
- много
- с разными
- должен
- Навигация
- Необходимость
- сеть
- сетевой
- Новые
- следующий
- нет
- отметил,
- сейчас
- объекты
- Очевидный
- of
- от
- on
- ONE
- только
- Операционный отдел
- Опции
- or
- организации
- Другое
- внешний
- собственный
- особый
- пути
- выполнять
- Стержень
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- PoC
- пунктов
- Популярное
- часть
- довольно
- зонд
- Продукция
- доказательства
- Полагая
- вымогателей
- RE
- достигать
- реальные
- последний
- Связанный
- удаленные
- удаленно
- исследователи
- Снижение
- Рим
- s
- то же
- говорит
- сканирование
- сканирование
- посмотреть
- сервер
- Серверы
- Оболочка
- должен
- аналогичный
- просто
- с
- So
- Решение
- удалось
- sort
- конкретный
- конкретно
- обнаружение
- Начало
- Stealth
- скрытый
- Шаг
- По-прежнему
- структурированный
- Поверхность
- сюрприз
- синтаксис
- система
- системы
- цель
- целевое
- техника
- чем
- который
- Ассоциация
- их
- теоретический
- Там.
- Эти
- они
- задача
- Думает
- этой
- те
- хоть?
- три
- время
- в
- трогательный
- Отслеживание
- два
- В конечном счете
- неразрешенный
- На ходу
- созданного
- использование
- используемый
- полезный
- через
- Вариант
- разнообразие
- различный
- векторы
- версия
- очень
- VPN
- Уязвимости
- уязвимость
- законопроект
- Путь..
- we
- Богатство
- Web
- который
- КТО
- широко
- Дикий
- в
- без
- являетесь
- зефирнет