Logo Zephyrnet

Những kẻ tấn công sử dụng khai thác công khai để điều chỉnh lỗ hổng hợp lưu Atlassian

Ngày:

Lỗ hổng bảo mật vẫn chưa được vá trên nhiều phiên bản của công cụ cộng tác và có khả năng tạo ra một kịch bản kiểu SolarWinds.

Các tác nhân đe dọa đang sử dụng khai thác công khai để khắc phục một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong zero-day, ảnh hưởng đến tất cả các phiên bản của công cụ cộng tác phổ biến được sử dụng trong môi trường máy chủ kết hợp và đám mây, đồng thời cho phép tiếp quản hoàn toàn máy chủ.

Các nhà nghiên cứu từ Volexity đã phát hiện ra lỗ hổng trong phần mềm Atlassian Confluence Server và Data Center vào cuối tuần trong Ngày lễ tưởng niệm sau khi họ phát hiện hoạt động đáng ngờ trên hai máy chủ web kết nối internet của một khách hàng đang chạy phần mềm, họ cho biết trong một blog đăng bài xuất bản tuần trước.

Các nhà nghiên cứu đã theo dõi hoạt động này để khai thác lỗ hổng công khai, CVE-2022-26134, điều đó đã được lan truyền nhanh chóng và sau đó đã báo cáo lỗ hổng cho Atlassian. Theo quan sát của các nhà nghiên cứu Volexity, thứ được mô tả là “lỗ hổng chèn OGNL” dường như cho phép một trang web Java Server Page (JSP) được viết vào một thư mục web có thể truy cập công khai trên phần mềm Confluence.Bản tin Người dùng nội bộ Infosec

Các nhà nghiên cứu viết: “Tệp này là một bản sao nổi tiếng của biến thể JSP của trang web Chopper của Trung Quốc. “Tuy nhiên, xem xét nhật ký web cho thấy tệp này hầu như không được truy cập. Webhell dường như đã được viết như một phương tiện truy cập thứ cấp. "

Atlassian đã phát hành một tư vấn bảo mật cùng ngày mà Volexity công khai lỗ hổng, cảnh báo khách hàng rằng tất cả phiên bản Máy chủ Hợp lưu và Trung tâm Dữ liệu được hỗ trợ sau phiên bản 1.3.0 đều bị ảnh hưởng và không có bản cập nhật nào. Điều này đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng của Bộ An ninh Nội địa Hoa Kỳ (CISA) ban hành một cảnh báo của riêng nó về lỗ hổng.

Một ngày sau, Atlassian đã phát hành bản cập nhật sửa các phiên bản sau của các sản phẩm bị ảnh hưởng: 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 và 7.18.1; nó cũng thực sự khuyến nghị khách hàng cập nhật càng sớm càng tốt. Nếu điều đó là không thể, công ty đã cung cấp trong lời khuyên mà họ nhấn mạnh là một giải pháp "tạm thời" cho lỗ hổng bằng cách cập nhật danh sách các tệp cụ thể tương ứng với các phiên bản cụ thể của sản phẩm.

Đe dọa leo thang

Trong khi đó, tình hình đang leo thang nhanh chóng thành một tình huống mà các chuyên gia bảo mật cho biết có thể đạt đến tỷ lệ lớn, với các vụ khai thác xuất hiện hàng ngày và hàng trăm địa chỉ IP duy nhất đã bịt lỗ hổng bảo mật. Nhiều phiên bản của các sản phẩm bị ảnh hưởng vẫn chưa được vá lỗi, điều này cũng tạo ra một tình huống nguy hiểm.

Naveen Sunkavalley, kiến ​​trúc sư trưởng của công ty bảo mật nhận xét: “CVE-2022-26134 cũng tệ như thế nào. Chân trời3.ai, trong một email tới Threatpost. Ông nói, các vấn đề chính là lỗ hổng bảo mật khá dễ tìm và khai thác, sau đó có thể sử dụng một yêu cầu HTTP GET duy nhất.

Hơn nữa, các phần mềm khai thác công khai được phát hành gần đây cho phép những kẻ tấn công sử dụng lỗ hổng để cho phép thực thi lệnh tùy ý và chiếm máy chủ đối với một số phiên bản Hợp lưu — bao gồm cả phiên bản chưa được vá mới nhất, 7.18.0, theo các thử nghiệm mà Horion3.ai đã tiến hành , Sunkavaley nói.

Thật vậy, Twitter đã nổ tung vào cuối tuần qua với các cuộc thảo luận về việc khai thác công khai lỗ hổng bảo mật. Vào thứ Bảy, Andrew Morris, Giám đốc điều hành của công ty an ninh mạng Màu xámTiếng ồn tweeted rằng họ đã bắt đầu thấy 23 địa chỉ IP duy nhất đang khai thác các lỗ hổng Atlassian. Vào thứ Hai, Morris đã tweet lại rằng số lượng địa chỉ IP duy nhất cố gắng khai thác lỗ hổng đã tăng lên 400 chỉ trong khoảng thời gian 24 giờ.

Tiềm năng cho một SolarWinds 2.0?

Sunkavalley chỉ ra rằng tác động rõ ràng nhất của lỗ hổng này là những kẻ tấn công có thể dễ dàng xâm nhập các phiên bản Confluence trực tiếp công khai để giành được chỗ đứng trong các mạng nội bộ, và sau đó tiếp tục gây ra thiệt hại lớn hơn nữa.

“Các trường hợp hợp lưu thường chứa nhiều dữ liệu người dùng và thông tin quan trọng về kinh doanh có giá trị đối với những kẻ tấn công di chuyển ngang trong các mạng nội bộ,” Sunkavalley nói.

Hơn nữa, lỗ hổng bảo mật là một vấn đề về mã nguồn và các cuộc tấn công ở cấp độ này “là một số cuộc tấn công hiệu quả và lâu dài nhất đối với hệ sinh thái CNTT”, Garret Grajek, Giám đốc điều hành của công ty bảo mật cho biết. Bạn chứng thực.

Bây giờ khét tiếng Cuộc tấn công chuỗi cung ứng của Solarwinds bắt đầu vào tháng 2020 năm XNUMX và mở rộng tốt vào năm 2021 là một ví dụ về mức độ thiệt hại và độ lớn của mối đe dọa mà phần mềm độc hại nhúng có thể gây ra và lỗi Confluence có khả năng tạo ra một kịch bản tương tự, ông nói.

Grajek cho biết: “Bằng cách tấn công cơ sở mã nguồn, tin tặc có thể thao túng mã để trở thành đại lý của doanh nghiệp hack, được đăng ký mã hóa như các thành phần hợp pháp trên hệ thống CNTT,” Grajek nói.

Vì lý do này, “các doanh nghiệp bắt buộc phải xem lại mã của họ và quan trọng nhất là danh tính có quyền kiểm soát hệ thống nguồn, như Atlassian, để đảm bảo quyền truy cập hạn chế và hợp pháp vào các cơ sở mã quan trọng của họ,” ông khẳng định.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img