Firma programistyczna Atlassian poprosiła użytkowników Confluence o ograniczenie dostępu do Internetu narzędzia lub całkowite wyłączenie go po znalezieniu bardzo poważnej luki, która jest wykorzystywana na wolności.

W narzędziu do współpracy (otwiera się w nowej karcie) od kilku lat występuje błąd, który umożliwia hakerom montowanie nieuwierzytelnionych ataków na zdalne wykonanie kodu na docelowe punkty końcowe (otwiera się w nowej karcie), potwierdziło społeczeństwo.

Jak donosi The Register, Atlassian po raz pierwszy poinformował o znalezieniu usterki 2 czerwca. Ponieważ nadal trwają prace nad poprawką, a błąd jest aktywnie wykorzystywany, firma wezwała klientów do podjęcia alternatywnych środków.

Dekada ryzyka

Początkowo firma uważała, że ​​tylko najnowsza wersja 7.18 Confluence Server jest podatna na ataki, ponieważ istniały dowody na to, że ta wersja została zaatakowana. Jednak dalsze dochodzenie wykazało, że wszystkie wersje (począwszy od 1.3.5) były podatne na ataki. Wersja 1.3.5 została wydana prawie dziesięć lat temu, w 2013 roku.

Rozwiązanie (otwiera się w nowej zakładce) jest wciąż w fazie rozwoju, a firma obiecuje, że zostanie wydane do końca dnia (3 czerwca). Chociaż jest to z pewnością dobra wiadomość, możliwe jest, że nie wszystkie firmy zdążą na czas aktualizacji, biorąc pod uwagę, że jest to piątek.

Ci, którzy chcą spać spokojnie w weekend, mają kilka możliwości: ograniczyć dostęp do Internetu dla instancji Confluence Server i Data Center lub całkowicie wyłączyć instancje Confluence Server i Data Center. Atlassian powiedział również, że firmy mogą wdrożyć regułę zapory aplikacji internetowej (WAF), aby blokować wszystkie adresy URL zawierające €{, ponieważ „może to zmniejszyć ryzyko”.

Błąd, zidentyfikowany jako CVE-2022-26134, został po raz pierwszy odkryty przez firmę ochroniarską Volexity. Firma twierdzi, że atakujący mogą wstawić powłokę webową strony serwera Jave do publicznie dostępnego katalogu internetowego na serwerze Confluence.

„Plik był znaną kopią wariantu China Chopper Webshell JSP” — napisał Volexity. „Jednak badanie dzienników internetowych wykazało, że dostęp do pliku był ledwo dostępny. Wygląda na to, że powłoka internetowa została napisana jako dodatkowy środek dostępu”.

Odkryto również, że proces aplikacji internetowej Confluence uruchamia powłoki bash, które „wyróżniały się”, powiedział Volexity, ponieważ zrodził proces bash, który zrodził proces Pythona, tworząc powłokę bash. .

„Volexity uważa, że ​​atakujący uruchomił pojedynczą próbę wykorzystania exploita… która z kolei załadowała do pamięci plik złośliwej klasy. kolejne wnioski. Zaletą takiego ataku było to, że osoba atakująca nie musiała ciągle ponownie eksploatować serwera i wykonywać poleceń bez zapisywania na dysku pliku backdoora”.

Za pośrednictwem Rejestru (Otwiera się w nowej zakładce)

Udostępnij to