Uyarı: Atlassian Confluence sunucularına yama uygulanmasına rağmen 'Effluence' arka kapısı devam ediyor

Aon'un Stroz Friedberg Olay Müdahale Hizmetleri, bu haftanın başlarında yayınlanan bir analizde, "Kötü amaçlı yazılım kalıcı bir arka kapı görevi görüyor ve Confluence'a yamalar uygulanarak düzeltilmiyor" dedi.

"Arka kapı, Confluence'tan veri sızdırmanın yanı sıra diğer ağ kaynaklarına yanal hareket yeteneği sağlıyor. Daha da önemlisi, saldırganlar Confluence'ta kimlik doğrulaması yapmadan arka kapıya uzaktan erişebilirler."

Siber güvenlik kuruluşu tarafından belgelenen saldırı zinciri, Atlassian'da yetkisiz Confluence yönetici hesapları oluşturmak ve Confluence sunucularına erişmek için kötüye kullanılabilecek kritik bir hata olan CVE-2023-22515'in (CVSS puanı: 10.0) kötüye kullanılmasını gerektirdi.

Atlassian o zamandan beri CVE-2023-22518 (CVSS puanı: 10.0) olarak bilinen ve bir saldırganın sahte bir yönetici hesabı oluşturmak için de yararlanabileceği ve bunun sonucunda gizlilik, bütünlük ve kullanılabilirliğin tamamen kaybolmasına neden olan ikinci bir kusuru açıkladı.

En son saldırıyı öne çıkaran şey, düşmanın CVE-2023-22515 aracılığıyla ilk erişimi elde etmesi ve geçerli bir kullanıcı hesabına ihtiyaç duymadan, kimliği doğrulanmamış oturum açma sayfası da dahil olmak üzere sunucudaki her web sayfasına kalıcı uzaktan erişim sağlayan yeni bir web kabuğu yerleştirmesidir.

Bir yükleyici ve yükten oluşan web kabuğu pasiftir ve belirli bir parametreyle eşleşen bir istek sağlanana kadar isteklerin fark edilmeden geçmesine izin verir ve bu noktada bir dizi eylem yürüterek kötü amaçlı davranışını tetikler.

Bu, yeni bir yönetici hesabı oluşturmayı, adli izi örtbas etmek için günlükleri temizlemeyi, temel sunucuda rastgele komutlar çalıştırmayı, dosyaları numaralandırmayı, okumayı ve silmeyi ve Atlassian ortamı hakkında kapsamlı bilgiler derlemeyi içerir.

Aon'a göre yükleyici bileşeni, normal bir Confluence eklentisi görevi görür ve yükün şifresini çözmekten ve başlatmaktan sorumludur.

Güvenlik araştırmacısı Zachary Reichert, "Web kabuğu işlevlerinin birçoğu Confluence'a özgü API'lere bağlıdır" dedi.

"Ancak, eklenti ve yükleyici mekanizması yalnızca ortak Atlassian API'lerine bağlı görünüyor ve bir saldırganın eklentiyi yükleyebileceği JIRA, Bitbucket veya diğer Atlassian ürünleri için potansiyel olarak uygulanabilir."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği