Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Atlassian kondigt 0-dagen-gat aan in Confluence Server - update binnenkort!

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 165

by
Paul Ducklin

Toolkit voor softwareontwikkeling en samenwerking, gigant Atlassian waarschuwt voor een gevaarlijke zero-day in zijn samenwerkingssoftware.

Er is geen waarschuwing over de bug zichtbaar op de hoofdwebpagina van het bedrijf, die de bekendste tools van het bedrijf JIRA (een IT-ticketingsysteem) en Trello (een discussiebord) bevat, maar u zult vinden Confluence-beveiligingsadvies 2022-06-02 op de subsite Confluence.

Het officiële bugnummer is CVE-2022-26134.

Het bestaan ​​van de bug was blootgelegd door het Amerikaanse dreigingsreactiebedrijf Volexity, dat beweert de kwetsbaarheid te hebben ontdekt tijdens het onderzoeken van een in-the-wild incident dat "inclusief JSP-webshells die naar schijf worden geschreven".

Webshells opnieuw bezocht

U herinnert zich ongetwijfeld webshells, omdat ze iets meer dan een jaar geleden overal in het nieuws waren tijdens de zogenaamde Hafnium-aanvallen, naar verluidt uitgevoerd door Chinese hackers tegen Microsoft Exchange-servers in maart 2021.

Webshells zijn een vervelende manier om een ​​achterdeur naar een netwerk te openen met behulp van een aanval waarbij aanvallers soms niet veel meer hoeven te doen dan een klein bestandje naar een deel van een webserver te schrijven waar inhoud is opgeslagen.

In de jaren negentig zouden hackers met schrijftoegang tot uw website waarschijnlijk een kick hebben gekregen door vlammende schedels aan uw startpagina toe te voegen en onmiddellijk de aandacht van het publiek te vestigen op het feit dat ze hadden ingebroken.

Maar door een webpagina toe te voegen met de zogenaamde a script aan de serverzijde, kunnen hedendaagse aanvallers zichzelf een geheime toegang tot uw netwerk geven zonder de aandacht op zichzelf te vestigen.

Dat komt omdat veel webservers niet alleen statische bestanden bevatten die naar externe gebruikers worden verzonden wanneer ze de juiste URL invoeren.

In plaats daarvan vertrouwen webservers vaak op bestanden die, op verzoek van een gebruiker, uitgevoerd als een programma door een scriptengine binnen de webserver, en gebruikt om de daadwerkelijke inhoud te genereren die wordt teruggestuurd.

Als dat gevaarlijk klinkt, is het dat ook, hoewel het over het algemeen als een functie wordt beschouwd, niet als een bug.

Server-side scripting is inderdaad de achtergrond van technologieën zoals Microsoft's ASP (actieve serverpagina's – de naam zegt het al!) en Java's JSP (Jakarta-serverpagina's).

As Wikipedia het stelt:

JSP […] is een verzameling technologieën waarmee softwareontwikkelaars dynamisch gegenereerde webpagina's kunnen maken op basis van HTML [en] andere documenttypen.

Webshells kunnen zo simpel zijn als één regel code die een proces in drie stappen als volgt uitvoert:

  --> Tekst extraheren uit de URL of de hoofdtekst van het inkomende webverzoek --> Voer de uitgepakte tekst zelf uit als een script --> Stuur de uitvoer van het frauduleuze script terug als antwoord

De webshell hoeft zelfs geen specifieke malwarecode te bevatten die opvalt.

Zolang de aanvaller de naam van het webshell-bestand dat ze hebben geïmplanteerd kan controleren (of zelfs maar kan raden), kunnen ze eenvoudig de server-URL bezoeken die overeenkomt met dat bestand, wanneer ze maar willen...

…en upload elke keer nieuwe malwarecode voor onmiddellijke uitvoering.

Natuurlijk laat dit soort "alles wat je wilt op elk moment kunt uitvoeren" sporen achter die een aanvaller niet gemakkelijk kan controleren en waar een jager op bedreigingen op kan letten, zoals onverwachte foutmeldingen, ongebruikelijke netwerkverbindingen of niet -webgerelateerde processen die op een webserver verschijnen.

Maar die artefacten verschijnen alleen als een neveneffect van kwaadaardige activiteiten die al hebben plaatsgevonden, dus de aanvallers hebben de overhand totdat iemand iets opmerkt.

Wat is er gebeurd?

Zoals je je kunt voorstellen, geeft Atlassian op dit moment geen specifieke informatie over de bug vrij, aangezien het nog steeds aan een oplossing werkt.

Gelukkig, hoewel Volexity besloot om publiekelijk over dit beveiligingslek te bloggen in plaats van het privé aan Atlassian bekend te maken en het bedrijf een paar dagen de tijd te geven om het stilletjes te repareren, lijken beide partijen genoeg details verborgen te houden waarvan we ons niet bewust zijn "Zo doe je het, mensen!" voorbeeldcode die momenteel rondzweeft.

Atlassian adviseert klanten die inkomende webgegevens vooraf kunnen filteren om te zoeken naar URL's met: ${, zeggende dat het blokkeren van deze "kan uw risico verminderen".

Daardoor klinkt deze bug een beetje als de beruchte Log4Shell-gat vanaf eind 2021, waar gelogde tekst niet letterlijk werd gelogd als er speciale commando's tussen stonden ${....} tekens.

Als je ooit de Bash-shell hebt gebruikt, ben je bekend met dit soort 'metacommando'. In Bash zijn de magische haakjes rond, niet kronkelig, zodat de tekst $(runthis) wordt niet precies gebruikt zoals het is geschreven, maar wordt in plaats daarvan vervangen door de uitvoer die wordt gegenereerd door het uitvoeren van de runthis commando, wat inderdaad iets heel anders en veel gevaarlijker is.

We vermoeden daarom dat deze exploit wordt geactiveerd door de manier waarop de code van Atlassian het "query"-gedeelte van URL's verwerkt die niet alleen een servernaam en een bestandsnaam hebben, maar worden gevolgd door een soort queryreeks, meestal voorafgegaan door een vraagteken.

Interessant zijn de personages { en } mogen eigenlijk niet in URL's verschijnen en zouden in plaats daarvan als speciale "escape-codes" in hexadecimaal moeten worden verzonden, waardoor ze verschijnen als %7B en %7D respectievelijk.

Of deze bug afhangt van frauduleuze URL-tekens die zijn verzonden zonder escapetekens, of dat u moet controleren op ${ nadat de URL is "unescaped" door uw webserver is niet duidelijk.

Dus als u een tijdelijk URL-filter gaat toevoegen, raden we u aan te letten op de { karakter in zowel zijn rauwe als ontsnapte vormen, voor het geval dat.

Wat te doen?

Atlassian heeft deze bug genoemd kritisch, en heeft gezegd dat er een patch uit zal komen tegen een "geschatte tijd [van] EOD 3 juni PDT", dat tegelijkertijd een geruststellende, maar tegelijkertijd ook vage en tautologische is.

(De uitdrukking EOD is op zichzelf niet specifiek en heeft niet echt het woord "geschat" nodig om het te begeleiden.)

Onthoud dat EOD staat voor einde van de dag, en kan dus wel een minuut voor middernacht zijn.

En 2022-06-03T23:59 UTC-7 (waar PDT een afkorting voor is) Pacific-zomertijd, zoals gebruikt in juni aan de westkust van de VS) is 2022-06-04T06:59 Zulu tijd, die op zaterdag in het VK net om 8 uur 's ochtends is en in West-Europa om 9 uur.

Met andere woorden, wees voorbereid om laat op te blijven, of om vroeg op te staan, want dat wil je pak de patch zo snel als je kunt.

Dat komt omdat we ervan uitgaan dat de patch waarschijnlijk de aard van de aanval onthult en hoe deze kan worden misbruikt, en dat dus proof-of-concept-bestanden en daadwerkelijke aanvallen snel zullen volgen.

In de tussentijd:

  • Haal uw Confluence-servers offline tijdelijk als dat een optie is.
  • Open toegang tot uw servers blokkeren rechtstreeks van internet als je kunt.
  • Overweeg om URL's te blokkeren met ${ in hen als je een snelle manier hebt om een ​​basisfilter toe te voegen.

Niet genoeg tijd of personeel om op de hoogte te blijven van cybersecurity?
Weet u niet waar u moet beginnen als u verdachte activiteiten opmerkt?
Meer informatie over Sophos Managed Threat Response:
Sophos MTR – Door experts geleide respons  ▶
24/7 jacht op bedreigingen, detectie en reactie  ▶

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.