Chyba Atlassian Confluence RCE zneužitá vo viacerých kampaniach kybernetických útokov

Zistilo sa, že oportunní aktéri hrozieb aktívne využívajú nedávno odhalenú kritickú bezpečnostnú chybu v nasadení Atlassian Confluence Windows a Linux na nasadenie webových shellov, ktoré vedú k spusteniu krypto baníkov na kompromitovaných systémoch.

Sledované ako CVE-2021-26084 (skóre CVSS: 9.8), zraniteľnosť sa týka chyby vkladania OGNL (Object-Graph Navigation Language), ktorú by bolo možné zneužiť na spustenie ľubovoľného kódu na inštancii servera Confluence alebo dátového centra.

„Vzdialený útočník môže zneužiť túto zraniteľnosť odoslaním upravenej HTTP požiadavky obsahujúcej škodlivý parameter na zraniteľný server,“ uviedli výskumníci zo spoločnosti Trend Micro v technickom zázname, ktorý podrobne popisuje túto slabinu. “Úspešné využitie môže mať za následok spustenie ľubovoľného kódu v kontexte zabezpečenia dotknutého servera.”

Zraniteľnosť, ktorá sa nachádza v module Webwork servera Atlassian Confluence a dátového centra, pramení z nedostatočného overenia používateľského vstupu, čo spôsobuje, že syntaktický analyzátor vyhodnocuje nečestné príkazy vložené do výrazov OGNL.

Divoké útoky prichádzajú po tom, čo americké kybernetické velenie varovalo pred pokusmi o masové využívanie po zverejnení zraniteľnosti koncom augusta tohto roku.

Pri jednom takomto útoku, ktorý zaznamenala spoločnosť Trend Micro, sa zistilo, že z0Miner, trójsky kôň a kryptojacker, bol aktualizovaný tak, aby využíval chybu vzdialeného spustenia kódu (RCE) na distribúciu užitočného zaťaženia v ďalšej fáze, ktoré funguje ako kanál na udržanie stálosti a nasadenie softvéru na ťažbu kryptomien na stroje. Imperva v nezávislej analýze potvrdil tieto zistenia a odhalil podobné pokusy o prienik, ktoré boli zamerané na spustenie ťažby kryptomien XMRig a ďalších skriptov po exploatácii.

Imperva, Juniper a Lacework tiež odhalili aktivitu zneužívania vykonávanú Muhstikom, botnetom prepojeným s Čínou, ktorý je známy svojou červivou schopnosťou samošírenia infikovať servery Linux a zariadenia internetu vecí minimálne od roku 2018.

Okrem toho tím pre spravodajstvo o hrozbách z jednotky 42 Palo Alto Networks uviedol, že identifikoval a zabránil útokom, ktoré boli organizované tak, aby nahrali súbory s heslami svojich zákazníkov, ako aj stiahli skripty s malvérom, ktoré vypustili baníka a dokonca otvorili interaktívny reverzný shell na stroji.

“Ako je to často v prípade zraniteľností RCE, útočníci sa ponáhľajú a zneužijú postihnuté systémy pre svoj vlastný zisk,” uviedli vedci z Impervy. „Zraniteľnosť RCE môže ľahko umožniť aktérom hrozieb využívať postihnuté systémy na ľahký peňažný zisk tým, že nainštalujú ťažiarov kryptomien a maskujú ich aktivitu, čím sa zneužívajú zdroje na spracovanie cieľa.“