Güvenlik araştırmacısı Zachary Reichert, “Web kabuğu işlevlerinin birçoğu Confluence’a özgü API’lere bağlı” dedi
Bir yükleyici ve veri yükünden oluşan web kabuğu pasiftir ve belirli bir parametreyle eşleşen bir istek sağlanana kadar isteklerin fark edilmeden içinden geçmesine izin verir; bu noktada bir dizi eylem gerçekleştirerek kötü amaçlı davranışını tetikler geçerli kullanıcı hesabı
Aon’a göre yükleyici bileşeni normal bir Confluence eklentisi gibi davranır ve yükün şifresinin çözülmesinden ve başlatılmasından sorumludur atık Atlassian Confluence Veri Merkezi ve Sunucusunda yakın zamanda açıklanan bir güvenlik açığının başarıyla kullanılmasının ardından devreye alınan bu sistem 0) olarak bilinen ve bir saldırganın hileli bir yönetici hesabı oluşturmak için yararlanabileceği ve gizliliğin, bütünlüğün ve kullanılabilirliğin tamamen kaybolmasıyla sonuçlanan ikinci bir kusuru açıkladı
Aon’un Stroz Friedberg Olay Müdahale Hizmetleri, “Kötü amaçlı yazılım kalıcı bir arka kapı görevi görüyor ve Confluence’a yama uygulanarak düzeltilmiyor
Atlassian, o zamandan beri CVE-2023-22518 (CVSS puanı: 10
En son saldırıyı öne çıkaran şey, saldırganın CVE-2023-22515 aracılığıyla ilk erişimi elde etmesi ve kimlik doğrulaması yapılmamış oturum açma sayfası da dahil olmak üzere sunucudaki her web sayfasına, herhangi bir kimlik doğrulama işlemine ihtiyaç duymadan kalıcı uzaktan erişim sağlayan yeni bir web kabuğu yerleştirmesidir
“Ancak eklenti ve yükleyici mekanizması yalnızca ortak Atlassian API’lerine bağlı görünüyor ve bir saldırganın eklentiyi yükleyebileceği JIRA, Bitbucket veya diğer Atlassian ürünlerine potansiyel olarak uygulanabilir ”
Siber güvenlik kuruluşu tarafından belgelenen saldırı zinciri, Atlassian’da yetkisiz Confluence yönetici hesapları oluşturmak ve Confluence sunucularına erişmek için kötüye kullanılabilecek kritik bir hata olan CVE-2023-22515’in (CVSS puanı: 10,0) istismar edilmesini gerektiriyordu Daha da önemlisi, saldırganlar Confluence’da kimlik doğrulaması yapmadan arka kapıya uzaktan erişebilir ”
siber-2
10 Kasım 2023Haber odasıSiber Saldırı / Tehdit İstihbaratı
Siber güvenlik araştırmacıları, adı verilen gizli bir arka kapı keşfettiler
“Arka kapı, Confluence’tan veri sızmasına ek olarak diğer ağ kaynaklarına yanal hareket olanağı sağlıyor ” söz konusu Bu hafta başlarında yayınlanan bir analizde
Bu, yeni bir yönetici hesabı oluşturmayı, adli takibi kapatmak için günlükleri temizlemeyi, temeldeki sunucuda rastgele komutlar çalıştırmayı, dosyaları numaralandırmayı, okumayı ve silmeyi ve Atlassian ortamı hakkında kapsamlı bilgiler derlemeyi içerir