Uyarı: Atlassian Confluence sunucularına yama uygulanmasına rağmen 'Effluence' arka kapısı devam ediyor
Siber güvenlik araştırmacıları, Atlassian Confluence Veri Merkezi ve Sunucusunda yakın zamanda açıklanan bir güvenlik açığından başarılı bir şekilde yararlanılmasının ardından dağıtılan Effluence adlı gizli bir arka kapı keşfettiler.
Aon'un Stroz Friedberg Olay Müdahale Hizmetleri, bu haftanın başlarında yayınlanan bir analizde, "Kötü amaçlı yazılım kalıcı bir arka kapı görevi görüyor ve Confluence'a yamalar uygulanarak düzeltilmiyor" dedi.
"Arka kapı, Confluence'tan veri sızdırmanın yanı sıra diğer ağ kaynaklarına yanal hareket yeteneği sağlıyor. Daha da önemlisi, saldırganlar Confluence'ta kimlik doğrulaması yapmadan arka kapıya uzaktan erişebilirler."
Siber güvenlik kuruluşu tarafından belgelenen saldırı zinciri, Atlassian'da yetkisiz Confluence yönetici hesapları oluşturmak ve Confluence sunucularına erişmek için kötüye kullanılabilecek kritik bir hata olan CVE-2023-22515'in (CVSS puanı: 10.0) kötüye kullanılmasını gerektirdi.
Atlassian o zamandan beri CVE-2023-22518 (CVSS puanı: 10.0) olarak bilinen ve bir saldırganın sahte bir yönetici hesabı oluşturmak için de yararlanabileceği ve bunun sonucunda gizlilik, bütünlük ve kullanılabilirliğin tamamen kaybolmasına neden olan ikinci bir kusuru açıkladı.
En son saldırıyı öne çıkaran şey, düşmanın CVE-2023-22515 aracılığıyla ilk erişimi elde etmesi ve geçerli bir kullanıcı hesabına ihtiyaç duymadan, kimliği doğrulanmamış oturum açma sayfası da dahil olmak üzere sunucudaki her web sayfasına kalıcı uzaktan erişim sağlayan yeni bir web kabuğu yerleştirmesidir.
Bir yükleyici ve yükten oluşan web kabuğu pasiftir ve belirli bir parametreyle eşleşen bir istek sağlanana kadar isteklerin fark edilmeden geçmesine izin verir ve bu noktada bir dizi eylem yürüterek kötü amaçlı davranışını tetikler.
Bu, yeni bir yönetici hesabı oluşturmayı, adli izi örtbas etmek için günlükleri temizlemeyi, temel sunucuda rastgele komutlar çalıştırmayı, dosyaları numaralandırmayı, okumayı ve silmeyi ve Atlassian ortamı hakkında kapsamlı bilgiler derlemeyi içerir.
Aon'a göre yükleyici bileşeni, normal bir Confluence eklentisi görevi görür ve yükün şifresini çözmekten ve başlatmaktan sorumludur.
Güvenlik araştırmacısı Zachary Reichert, "Web kabuğu işlevlerinin birçoğu Confluence'a özgü API'lere bağlıdır" dedi.
"Ancak, eklenti ve yükleyici mekanizması yalnızca ortak Atlassian API'lerine bağlı görünüyor ve bir saldırganın eklentiyi yükleyebileceği JIRA, Bitbucket veya diğer Atlassian ürünleri için potansiyel olarak uygulanabilir."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı