Uma vulnerabilidade de execução remota de código (RCE) em todas as versões da popular plataforma de colaboração Confluence pode ser abusada na coleta de credenciais, espionagem cibernética e ataques de backdoor de rede.
Uma vulnerabilidade crítica de segurança no Atlassian Confluence está sob ataque ativo, abrindo servidores para controle total do sistema, alertaram pesquisadores de segurança.
O bug (CVE-2022-26134) é um problema de injeção de comando que permite a execução remota de código (RCE) não autenticada, afetando todas as versões com suporte do Confluence Server e do Confluence Data Center. De acordo com uma investigação forense de dois ataques de dia zero da Volexity, ele pode ser explorado sem a necessidade de credenciais ou interação do usuário, simplesmente enviando uma solicitação da Web especialmente criada para o sistema Confluence.
Nenhum site da Atlassian Cloud foi afetado.
O Confluence é um conjunto de espaço de trabalho corporativo e de trabalho remoto usado para gerenciamento de projetos e colaboração entre equipes. Como tal, ele abriga dados confidenciais sobre projetos, usuários específicos e potenciais parceiros e clientes; além disso, tende a ser integrado a outros recursos, servidores e sistemas corporativos. Uma exploração bem-sucedida permitiria que os invasores aspirem dados da plataforma e se aprofundem na rede de uma organização como um prelúdio para, digamos, um ataque de ransomware.
“Ao explorar esse tipo de vulnerabilidade, os invasores podem obter acesso direto a sistemas e redes altamente confidenciais”, observaram os pesquisadores da Volexity.
Os pesquisadores aconselharam os administradores a remover o acesso externo aos seus servidores Confluence imediatamente até que os patches sejam aplicados. Enquanto isso, a Atlassian confirmou em seu comunicado que apressou uma correção, com os patches sendo lançados no final dos negócios ET em 3 de junho.
Um porta-voz disse ao Dark Reading que a empresa “entrou em contato com todos os clientes potencialmente vulneráveis diretamente para notificá-los sobre a correção”.
Ataques de confluência da Atlassian de dia zero
Durante sua investigação, a Volexity seguiu o caminho dos invasores em duas instâncias, o que foi o mesmo em ambas. Para começar, os culpados exploraram a vulnerabilidade para criar um webshell interativo (escrevendo um arquivo de classe malicioso na memória), o que lhes deu acesso de backdoor persistente ao servidor sem precisar gravar nada no disco.
Depois disso, a empresa observou que os agentes de ameaças abandonaram o implante Behinder no servidor, que é uma ferramenta de código aberto para criar webshells flexíveis somente de memória. Ele também permite a integração com Meterpreter e Cobalt Strike, duas ferramentas que são mais usadas para movimento lateral. O Meterpreter permite que os usuários busquem vários módulos do Metasploit (ou seja, explorações de trabalho para bugs conhecidos), enquanto o Cobalt Strike é uma ferramenta de teste de caneta que é frequentemente usada pelos bandidos para investigar e comprometer novos alvos na rede.
Depois que o Behinder foi implementado, a Volexity descobriu que os adversários instalaram dois webshells adicionais no disco: China Chopper e um shell de upload de arquivo personalizado. O China Chopper é uma ferramenta que existe há uma década, que permite que os invasores retenham o acesso a um servidor Web infectado usando um aplicativo do lado do cliente. O cliente contém toda a lógica necessária para controlar o destino, o que o torna muito fácil de usar.
Uma vez que essa configuração básica de infecção estava em vigor, os invasores executaram vários comandos, incluindo aqueles voltados para reconhecimento (verificação do sistema operacional, procura de repositórios de senhas); roubar informações e tabelas de usuários do banco de dados local do Confluence; e alterando os logs de acesso à Web para remover evidências de exploração, disse Volexity.
Embora a empresa tenha detectado dois ataques de dia zero, é provável que a atividade seja mais difundida. “A Volexity tem motivos para acreditar que essa exploração está atualmente em uso por vários atores de ameaças e que o provável país de origem desses invasores é a China”, disseram os pesquisadores.
Como evitar o comprometimento da confluência
A melhor opção além do patch para evitar o comprometimento é simplesmente desabilitar as instâncias do Confluence Server e do Confluence Data Center, remover todo o acesso externo ou usar regras de lista segura de endereços IP para restringir o acesso apenas a endpoints confiáveis, observaram os pesquisadores. As organizações também podem adicionar regras de desserialização Java que protegem contra vulnerabilidades de injeção RCE em seus firewalls de aplicativos da Web (WAFs).
Também é importante descobrir sinais de qualquer comprometimento, já que uma infecção pode persistir além da correção.
“A presença de um webshell oferece ao invasor a capacidade de manter o acesso a um sistema comprometido mesmo depois de uma vulnerabilidade como essa ter sido corrigida”, observa Satnam Narang, engenheiro sênior de pesquisa da Tenable. “Observamos o mesmo após a exploração da vulnerabilidade do ProxyShell no ano passado, em que os invasores implantaram webshells em instâncias vulneráveis do Microsoft Exchange Server.”
No entanto, “esses sistemas muitas vezes podem ser difíceis de investigar, pois não possuem os recursos apropriados de monitoramento ou registro”, apontou Volexity.
Os pesquisadores da Volexity ofereceram os seguintes conselhos:
* Garanta que os serviços da Web voltados para a Internet tenham recursos robustos de monitoramento e políticas de retenção de log para ajudar no caso de um incidente
* Envie arquivos de log relevantes de servidores Web voltados para a Internet para um servidor SIEM ou Syslog
* Monitore processos filhos de processos de aplicativos da Web para processos suspeitos (neste caso, o shell Python é um bom exemplo disso)
Se o passado é prólogo, é bom estar atento a este: os invasores veem o Confluence como um alvo popular, como mostrado pela exploração em massa de outra falha RCE no outono passado, em volumes grandes o suficiente para acionar um alerta CISA.
“Embora atualmente não haja detalhes de exploração ou prova de conceito para essa vulnerabilidade, sabemos pela história que os invasores apreciam a oportunidade de atacar produtos da Atlassian como o Confluence”, disse Narang ao Dark Reading. “Incentivamos fortemente as organizações a revisar suas opções de mitigação até que os patches estejam disponíveis”.
Greg Fitzgerald, cofundador da Sevco Security, também alerta as organizações para que tomem medidas proativas para evitar ataques de dia zero.
“As organizações vulneráveis a este exploit não podem simplesmente sentar e supor que isso será resolvido por meio de seu processo típico de gerenciamento de patches”, diz ele ao Dark Reading. “Quando a Atlassian lançar um patch, esse será o primeiro passo para a maioria das organizações. Mas, embora a correção de vulnerabilidades funcione muito bem para os sistemas que você conhece, a grande maioria das empresas simplesmente não conhece a totalidade de sua superfície de ataque. Isso ocorre porque manter um inventário preciso de ativos de TI em um ambiente dinâmico é extremamente difícil. Os atores de ameaças descobriram isso há muito tempo e trabalham sem parar para explorá-lo. O primeiro passo para combater ameaças como esta é estabelecer um inventário preciso e atualizado continuamente de todos os ativos da empresa para servir como um controle fundamental para o seu programa de segurança.”
Esta postagem foi atualizada às 4:45 ET para refletir que o bug não está mais sem correção.
Tara Seals
Managing Editor, News, Dark Reading