Стелс-бомбардировщик: Atlassian Confluence использует возможность размещения веб-оболочек в памяти

В настоящее время распространяются новые эксплойты для проверки концепции (PoC) для широко целевой уязвимости Atlassian Confluence Data Center и Confluence Server. Новые векторы атак могут позволить злоумышленнику незаметно выполнить произвольный код в памяти Confluence, не затрагивая файловую систему.

Исследователи VulnCheck отслеживают эксплойты для CVE-2023-22527 уязвимость удаленного выполнения кода (RCE), о котором стало известно в январе. С тех пор CVE стала «очагом вредоносной активности», отметили они, и в настоящее время VulnCheck отслеживает 30 уникальных эксплойтов этой уязвимости, включая самые последние варианты.

Большинство атак на Confluence загружают «печально известные» Веб-оболочка Годзиллы. Godzilla позволяет злоумышленникам удаленно управлять взломанным сервером, выполнять произвольные команды, загружать и скачивать файлы, манипулировать базами данных и выполнять другие вредоносные действия.

Однако новый подход заключается в использовании полезной нагрузки в памяти. Обнаружив существующие PoC, использующие эту технику, исследователи VulnCheck разработали три собственных PoC, чтобы исследовать ограничения подхода в памяти.

Шквал активности никого не должен удивлять: технический директор VulnCheck Джейкоб Бэйнс говорит, что, по его мнению, злоумышленники любят атаковать Confluence из-за обилия деловой информации, доступной в приложении, что делает его «хорошим стержнем» во внутренней сети.

«Используя эту цель, вы получаете локальную версию со специфичной для бизнеса логикой», — говорит он. «Это довольно привлекательно, особенно для злоумышленников-вымогателей».

Веб-оболочки в памяти для эксплойтов Atlassian Confluence

As Сообщение в блоге VulnCheck подробнее: «Есть несколько способов добраться до Рима. Более скрытые пути генерируют другие индикаторы. Особый интерес представляет веб-оболочка в памяти, у которой уже существовал вариант… который, судя по всему, был развернут в реальных условиях».

Бэйнс объясняет, что в одном из PoC компании подробно описан основной первый шаг загрузки произвольной Java в память — популярный подход к использованию эксплойтов, но который легко обнаружить с помощью обнаружения конечных точек.

«Это очень очевидный и простой в обнаружении метод использования Confluence», — говорит он. «Но загружать произвольную Java в память полезно знать, как это сделать, потому что следующий шаг — часть веб-оболочки — основывается на этом».

Два других доказательства концепции CVE-2023-22527 от VulnCheck в Confluence подробно описывают, как злоумышленники могут использовать уязвимость Confluence, загружая веб-оболочку в памяти напрямую для получения несанкционированного доступа к веб-серверам.

По словам Бейнса, загрузка и выполнение кода из памяти Confluence — это гораздо более скрытный и мощный подход к атаке на Confluence, который с меньшей вероятностью будет обнаружен защитниками.

«Многие системы обнаруживают злоумышленников в системе только путем анализа файлов, которые сбрасываются на диск», — говорит он, добавляя, что не существует хорошего способа сканирования Java в памяти на предмет веб-оболочек из-за ее структуры — настоящее решение заключается в обнаружить его в сети.

«Это имеет свои проблемы, поскольку все зашифровано, и вам приходится развертывать сертификаты для клиентов», — говорит он. «Долгосрочный ответ — получить от Интернета все, что можно».

Бэйнс отмечает, что теперь в списке известных эксплуатируемых уязвимостей (KEV) VulCheck имеется несколько различных CVE.

«Определенно пришло время использовать это в VPN», — говорит он. «В конечном счете, управление поверхностями атак — это способ помочь смягчить эти более сложные проблемы».

Риск OGNL не ограничивается слиянием

Бэйнс говорит, что риск компрометации чрезвычайно высок для организаций, которые до сих пор не обновили Confluence, учитывая предпринимаемые усилия по массовой эксплуатации.

«Мы видим, что злоумышленники использовали эту веб-оболочку в памяти — это не теоретическая атака», — говорит он. «Это то, что происходит, поэтому защитники должны знать об этом и о том, что на данный момент это высокий риск».

Бэйнс добавляет, что риск, связанный с подходом в памяти, не ограничивается только Confluence, поскольку он связан с выражениями языка объектно-графической навигации (OGNL), которые позволяют разработчикам выполнять различные операции над объектами Java, используя простой и лаконичный синтаксис.

«Это затрагивает множество различных продуктов со схожими уязвимостями — вы можете использовать ту же самую технику против этих других продуктов», — говорит он. «Организации должны разработать меры, чтобы начать выявлять подобные вещи, например, сетевое обнаружение или сканирование памяти Java на наличие вредоносных веб-оболочек».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/stealth-bomber-atlassian-confluence-exploits-drop-web-shells-in-memory