Pesquisadores de segurança cibernética descobriram uma backdoor furtiva chamada Effluence, implantada após a exploração bem-sucedida de uma falha de segurança recentemente divulgada no Atlassian Confluence Data Center e Server.
"O malware atua como uma backdoor persistente e não é remediado ao aplicar patches no Confluence", disse o Stroz Friedberg Incident Response Services da Aon em uma análise publicada esta semana.
"A backdoor fornece capacidade de movimento lateral para outros recursos de rede, além da exfiltração de dados do Confluence.
Importante ressaltar, os invasores podem acessar a backdoor remotamente sem autenticação no Confluence."
A cadeia de ataque documentada pela entidade de segurança cibernética envolveu a exploração do
CVE-2023-22515
(pontuação CVSS: 10.0), um bug crítico da Atlassian que pode ser explorado para criar contas de administrador não autorizadas no Confluence e acessar servidores do Confluence.
Desde então, a Atlassian divulgou uma segunda falha conhecida como
CVE-2023-22518
(pontuação CVSS: 10.0) que um invasor também pode aproveitar para configurar uma conta de administrador fraudulentas, resultando em uma completa perda de confidencialidade, integridade e disponibilidade.
O ataque mais recente se destaca porque o adversário obteve acesso inicial via
CVE-2023-22515
e implantou uma nova web shell que concede acesso remoto persistente a todas as páginas da web no servidor, incluindo a página de login não autenticada, sem a necessidade de uma conta de usuário válida.
A web shell, composta por um carregador e um payload, é passiva, permitindo que as solicitações passem por ela despercebidas até que seja fornecida uma solicitação que corresponda a um parâmetro específico, momento em que desencadeia seu comportamento malicioso por executar uma série de ações.
Isso inclui criar uma nova conta de administrador, limpar logs para encobrir a trilha forense, executar comandos arbitrários no servidor subjacente, enumerar, ler e excluir arquivos e compilar extensas informações sobre o ambiente da Atlassian.
O componente do carregador, segundo a Aon, atua como um plug-in normal do Confluence e é responsável por descriptografar e iniciar o payload.
"Várias das funções da web shell dependem das APIs específicas do Confluence", disse o pesquisador de segurança Zachary Reichert.
"No entanto, o plug-in e o mecanismo do carregador parecem depender apenas das APIs comuns da Atlassian e são potencialmente aplicáveis ao JIRA, Bitbucket ou outros produtos da Atlassian onde um invasor pode instalar o plug-in."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...