Investigadores de ciberseguridad han descubierto una puerta trasera oculta llamada… el flujo Se publicó tras la explotación exitosa de una vulnerabilidad recientemente revelada en el centro de datos y servidor de Atlassian Confluence.
«El malware actúa como una puerta trasera persistente y no se soluciona aplicando parches a Confluence», Aon Inc. Stroz Friedberg Incident Response Services Él dijo En un análisis publicado a principios de esta semana.
«La puerta trasera proporciona la capacidad de movimiento lateral a otros recursos de la red, así como de robo de datos de Confluence. Es importante destacar que los atacantes pueden acceder a la puerta trasera de forma remota sin autenticarse en Confluence».
La cadena de ataque documentada por la entidad de ciberseguridad implicó la explotación de CVE-2023-22515 (puntuación CVSS: 10.0), un error crítico en Atlassian del que se puede abusar para crear cuentas de administrador de Confluence no autorizadas y acceder a servidores de Confluence.
Desde entonces, Atlassian ha revelado una segunda falla conocida como CVE-2023-22518 (puntaje CVSS: 10.0) que un atacante también puede aprovechar para configurar una cuenta de administrador fraudulenta, lo que resulta en una pérdida total de confidencialidad, integridad y disponibilidad.
Lo que hace que el último ataque sea notable es que el adversario obtuvo acceso inicial a través de CVE-2023-22515 e incluyó un nuevo shell web que otorga acceso remoto persistente a cada página web del servidor, incluida la página de inicio de sesión no autenticada, sin la necesidad de un usuario. cuenta justo.
El web shell, que consta de un cargador y una carga útil, es inerte, lo que permite que las solicitudes pasen desapercibidas hasta que se realiza una solicitud que coincide con un determinado parámetro, momento en el que desencadena su comportamiento malicioso al ejecutar una serie de acciones.
Esto incluye crear una nueva cuenta de administrador, depurar registros para cubrir un rastro forense, ejecutar comandos aleatorios en el servidor principal, enumerar, leer y eliminar archivos y recopilar información completa sobre el entorno de Atlassian.
El componente del cargador, según Aon, actúa como un complemento normal de Confluence y es responsable de descifrar y ejecutar la carga útil.
«Muchas de las funciones del shell web se basan en las API de Confluence», afirmó el investigador de seguridad Zachary Reichert.
«Sin embargo, el complemento y el mecanismo de carga parecen depender únicamente de las API comunes de Atlassian y probablemente sean aplicables a JIRA, Bitbucket u otros productos de Atlassian donde un atacante podría instalar el complemento».
