Μία νέα κρίσιμη ευπάθεια zero-day στο Atlassian Confluence, εκμεταλλεύεται ενεργά από hackers, για την εγκατάσταση web shells. Η ευπάθεια είναι γνωστή ως CVE-2022-26134 και αυτή τη στιγμή δεν υπάρχει διαθέσιμη επιδιόρθωση.
Δείτε επίσης: Νέα ευπάθεια Windows zero-day προστίθεται στον κατάλογο της Microsoft
Η Atlassian έχει κυκλοφορήσει μία ενημέρωση ασφαλείας, που αποκαλύπτει ότι το CVE-2022-26134 είναι μία κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα, που δεν απαιτεί έλεγχο ταυτότητας και εντοπίζεται τόσο στο Confluence Server όσο και στο Data Center.
Η Atlassian λέει ότι επιβεβαίωσε την ευπάθεια στον Confluence Server 7.18.0 και πιστεύει ότι ο Confluence Server και το Data Center 7.4.0 και νεότερη έκδοση είναι επίσης ευάλωτα.
Σύμφωνα με την ανακοίνωση, οι κακόβουλοι παράγοντες εκμεταλλεύονται ενεργά τον Confluence Server 7.18.0. Οι hackers, φέρεται α εγκατέστησαν το BEHINDER, ένα web shell JSP που τους επιτρέπει να εκτελούν εντολές στον παραβιασμένο διακομιστή εξ αποστάσεως.
Καθώς δεν υπάρχουν διαθέσιμες ενημερώσεις κώδικα, η Atlassian λέει στους πελάτες να κάνουν τους διακομιστές τους μη προσβάσιμους με μία από αυτές τις δύο μεθόδους:
- Περιορισμός παρουσιών Confluence Server και Data Center από το διαδίκτυο.
- Απενεργοποίηση παρουσιών Confluence Server και Data Center.
Δείτε ακόμα: Microsoft Office zero-day: Χρησιμοποιείται σε επιθέσεις εκτέλεσης PowerShell
Προς το παρόν, δεν υπάρχουν άλλοι τρόποι για να μετριαστεί αυτή η ευπάθεια.
Οι οργανισμοί που χρησιμοποιούν το Atlassian Cloud, δεν επηρεάζονται.
Η Atlassian εργάζεται ενεργά για τη δημιουργία ενός patch και θα δημοσιεύσει περισσότερες πληροφορίες όταν αυτό γίνει διαθέσιμο.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) πρόσθεσε το zero-day στον «Κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών» και απαιτεί από τις ομοσπονδιακές υπηρεσίες να αποκλείσουν όλη την κίνηση του Διαδικτύου στους διακομιστές Confluence μέχρι σήμερα, 3 Ιουνίου.
Όπως αποκάλυψε πρόσφατα η εταιρεία κυβερνοασφάλειας Volexity, η ευπάθεια ανακαλύφθηκε κατά τη διάρκεια του Σαββατοκύριακου της Ημέρας Μνήμης σε έναν έλεγχο.
Μετά τη διεξαγωγή της έρευνας, η Volexity μπορούσε να αναπαράγει το exploit έναντι της τελευταίας έκδοσης του διακομιστή Confluence και το αποκάλυψε στην Atlassian στις 31 Μαΐου.
Δείτε επίσης: Mozilla: Επιδιορθώνει zero-days που αξιοποιήθηκαν στο Pwn2Own
Καθώς δεν υπάρχουν διαθέσιμες ενημερώσεις κώδικα, η Volexity συνιστά επίσης στους διαχειριστές του Confluence να αποσυνδέουν τους διακομιστές τους από το Διαδίκτυο έως ότου η Atlassian κυκλοφορήσει μια ενημέρωση κώδικα.
Η Volexity κυκλοφόρησε επίσης μια λίστα με διευθύνσεις IP πίσω από τις επιθέσεις και κανόνες Yara για τον εντοπισμό της δραστηριότητας του web shell στους διακομιστές Confluence.
Πηγή: BleepingComputer