Nya proof-of-concept (PoC)-operationer cirkulerar i naturen för ett brett riktat Atlassian Confluence Data Center och Confluence Server-fel. De nya attackvektorerna kan göra det möjligt för en illvillig aktör att i smyg exekvera godtycklig kod i Confluences minne utan att röra filsystemet.
Forskare vid VulnCheck har spårat exploateringen för CVE-2023-22527 sårbarhet för fjärrkörning av kod (RCE)., vilket avslöjades i januari. CVE har sedan dess blivit "härdpunkt för skadlig aktivitet", noterade de, med VulnCheck som för närvarande spårar 30 unika in-the-wild exploateringar för sårbarheten, inklusive de nyare alternativen.
De flesta attackerna mot Confluence laddar de "ökända" Godzilla webbskal. Godzilla tillåter angripare att fjärrstyra den komprometterade servern, utföra godtyckliga kommandon, ladda upp och ladda ner filer, manipulera databaser och utföra andra skadliga aktiviteter.
Ett nytt tillvägagångssätt är dock att använda en nyttolast i minnet. Efter att ha upptäckt in-the-wild PoCs med den tekniken, utvecklade VulnCheck-forskare tre egna PoCs för att undersöka in-memory-metodens gränser.
Storleken av aktivitet borde inte överraska någon: VulnCheck CTO Jacob Baines säger att han tror angripare älskar att rikta sig mot Confluence på grund av den mängd affärsinformation som finns tillgänglig i applikationen, vilket gör det till en "bra pivot" i ett internt nätverk.
"Genom att utnyttja det här målet får du en lokal version med affärsspecifik logik", säger han. "Det är ganska attraktivt för ransomware-angripare specifikt."
In-Memory Web Shells för Atlassian Confluence Exploits
As VulnChecks blogginlägg detaljer, "Det finns mer än ett sätt att nå Rom. Mer smygande vägar genererar olika indikatorer. Av särskilt intresse är webbskalet i minnet, som hade en redan existerande variant ... som verkar ha utplacerats i det vilda."
Baines förklarar att en av företagets PoC:er beskriver det grundläggande första steget för att ladda godtycklig Java i minnet, ett populärt utnyttjande tillvägagångssätt men som lätt kan upptäckas med slutpunktsdetektering.
"Det här är en mycket uppenbar, lättfångad metod för att utnyttja Confluence", säger han. "Men att ladda godtycklig Java i minnet är användbart att veta hur man gör, eftersom nästa steg, webbskalsdelen, bygger på det."
VulnChecks andra två proof of concept för CVE-2023-22527 i Confluence beskriver hur skadliga aktörer kan utnyttja Confluence-sårbarheten genom att ladda ett webbskal i minnet direkt för att få obehörig åtkomst till webbservrar.
Att ladda in i och exekvera kod från Confluences minne är en mycket mer smygande och beväpnad metod för att attackera Confluence som är mindre sannolikt att upptäckas av försvarare, säger Baines.
"Många system upptäcker bara motståndare på systemet genom att analysera filer som släpps till disk," säger han och tillägger att det inte finns något bra sätt att skanna Java i minnet efter webbskal på grund av hur det är strukturerat - den verkliga lösningen ligger i upptäcker det på nätverket.
"Det har sina egna utmaningar, eftersom allt är krypterat och du måste distribuera certifikat till klienterna", säger han. "Det långsiktiga svaret är att få bort allt från Internet som du kan."
Baines påpekar att Confluence nu har haft flera olika CVE:er på VulChecks lista över kända exploaterade sårbarheter (KEV).
"Det är definitivt dags att börja lägga det bakom en VPN," säger han. "I slutändan är hantering av attackytan sättet att lindra dessa mer avancerade problem."
OGNL-risk inte begränsad till sammanflöde
Baines säger att risken för kompromisser är extremt hög för organisationer som fortfarande inte har åtgärdat Confluence, med tanke på de massexploateringar som pågår.
"Vi ser att angripare har använt det här webbskalet i minnet - det är inte en teoretisk attack", säger han. "Det är något som händer, så försvarare måste vara medvetna om det och att det är en hög risk för tillfället."
Baines tillägger att risken från in-memory-metoden inte bara är begränsad till Confluence, eftersom den är relaterad till Object-Graph Navigation Language (OGNL)-uttryck, som tillåter utvecklare att utföra olika operationer på Java-objekt med en enkel, koncis syntax.
"Detta påverkar en mängd olika produkter med liknande sårbarheter - du kan använda exakt samma teknik mot de andra produkterna", säger han. "Organisationer måste utvecklas ett steg för att börja fånga den här typen av saker, till exempel nätverksbaserad detektering eller skanna Java-minne efter skadliga webbskal."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/application-security/stealth-bomber-atlassian-confluence-exploits-drop-web-shells-in-memory
- : har
- :är
- :inte
- 30
- a
- tillgång
- aktiviteter
- aktivitet
- skådespelaren
- aktörer
- tillsats
- Lägger
- avancerat
- påverkar
- Efter
- mot
- tillåter
- tillåter
- an
- analys
- och
- svara
- visas
- Ansökan
- tillvägagångssätt
- godtycklig
- ÄR
- AS
- At
- Atlassian
- attackera
- angripare
- Anfall
- Attacker
- attraktiv
- tillgänglig
- medveten
- grundläggande
- BE
- därför att
- blir
- varit
- bakom
- Blogg
- bygger
- företag
- men
- by
- KAN
- fånga
- Centrum
- certifikat
- utmaningar
- cirkulerande
- klienter
- koda
- kompromiss
- Äventyras
- begrepp
- koncis
- konfluens
- kontroll
- kunde
- CTO
- För närvarande
- CVE
- datum
- Data Center
- databaser
- Försvararna
- definitivt
- distribuera
- utplacerade
- detalj
- detaljer
- upptäcka
- detekterad
- detektering
- Detektering
- utvecklade
- utvecklare
- olika
- direkt
- upptäckt
- do
- ladda ner
- Drop
- tappade
- lätt
- ansträngningar
- möjliggöra
- krypterad
- Slutpunkt
- Eter (ETH)
- allt
- utvecklas
- exakt
- exempel
- exekvera
- exekvera
- utförande
- Förklarar
- Exploit
- utnyttjas
- utnyttja
- bedrifter
- uttryck
- extremt
- Fil
- Filer
- Firm
- Förnamn
- fel
- Flurry
- För
- från
- Få
- generera
- få
- ges
- god
- stor
- hade
- Happening
- Har
- he
- hjälpa
- Hög
- Hur ser din drömresa ut
- How To
- HTTPS
- in
- Inklusive
- indikatorer
- ökänd
- informationen
- intresse
- inre
- Internet
- in
- problem
- IT
- DESS
- Jacob
- Januari
- java
- jpg
- bara
- Vet
- känd
- språk
- mindre
- ligger
- sannolikt
- Begränsad
- gränser
- Lista
- läsa in
- läser in
- Logiken
- lång sikt
- Lot
- älskar
- GÖR
- skadlig
- ledning
- manipulera
- Minne
- metod
- Mildra
- ögonblick
- mer
- mycket
- multipel
- måste
- Navigering
- Behöver
- nät
- nätverksbaserade
- Nya
- Nästa
- Nej
- noterade
- nu
- objekt
- Uppenbara
- of
- sänkt
- on
- ONE
- endast
- Verksamhet
- Tillbehör
- or
- organisationer
- Övriga
- ut
- egen
- särskilt
- banor
- utföra
- pivot
- plato
- Platon Data Intelligence
- PlatonData
- PoC
- poäng
- Populära
- del
- pretty
- sond
- Produkter
- korrektur
- sätta
- Ransomware
- RE
- nå
- verklig
- senaste
- relaterad
- avlägsen
- distans
- forskare
- Risk
- rome
- s
- Samma
- säger
- scanna
- scanning
- se
- server
- Servrar
- Shell
- skall
- liknande
- Enkelt
- eftersom
- So
- lösning
- något
- sortera
- specifik
- specifikt
- spotting
- starta
- Stealth
- smygande
- Steg
- Fortfarande
- strukturerade
- yta
- överraskning
- syntax
- system
- System
- Målet
- riktade
- Tekniken
- än
- den där
- Smakämnen
- deras
- teoretiska
- Där.
- Dessa
- de
- sak
- tänker
- detta
- de
- fastän?
- tre
- tid
- till
- rörande
- Spårning
- två
- Ytterst
- obehörig
- På gång
- unika
- användning
- Begagnade
- användbara
- med hjälp av
- Variant
- mängd
- olika
- vektorer
- version
- mycket
- VPN
- sårbarheter
- sårbarhet
- var
- Sätt..
- we
- Rikedom
- webb
- som
- VEM
- brett
- Vild
- med
- inom
- utan
- dig
- zephyrnet
