Atlassian har udstedt nødrettelser til sårbarheden, som kan give angribere mulighed for at udføre fjernudførelse af kode.
Softwarefirmaet Atlassian frigav nødrettelser til sine populære Confluence Server- og Data Center-produkter, efter at rapporter kom frem i slutningen af sidste uge om, at angribere udnyttede en upatchet sårbarhed i naturen. Ifølge data fra Cloudflares webapplikationsfirewall (WAF) -tjeneste startede angrebene i slutningen af maj.
Sårbarheden, nu sporet som CVE-2022-26134, er klassificeret kritisk og giver ikke-autenterede angribere mulighed for at få fjernudførelse af kode (RCE) på servere, der er vært for de berørte Confluence-versioner. Virksomheden opfordrer kunderne til at opgradere til de nyligt udgivne versioner 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 og 7.18.1, afhængigt af hvilken udgivelse de bruger.
Opdatering 4. juli: På trods af advarslen om at opgradere fra Atlassian, trusselsaktører ser stadig muligheder fra sårbarheden ifølge en 28. juni fra Akamai. Det er forskere ser i gennemsnit 20,000 udnyttelsesforsøg en dag efter at have toppet på 100,000 om dagen umiddelbart efter sårbarheden blev rapporteret. Akamai forskere forudsagde, at denne sårbarhed vil fortsætte med at blive udnyttet “i det mindste de næste par år.”
Object-Graph Navigation Language-injektion
Sårbarheden beskrives som en Object-Graph Navigation Language (OGNL) injektion, OGNL er et open source-udtrykssprog til at hente og indstille egenskaber for Java-objekter. Det tilbyder en enklere måde at opnå, hvad der kan gøres i Java selv, og det understøttes i mange produkter.
Faktisk, OGNL-injektion er en klasse af sårbarheder, der tidligere har påvirket andre populære projekter. For eksempel var det store Equifax-databrud i 2017 forårsaget af en upatchet OGNL-injektionssårbarhed – CVE-2017-5638 – i den populære Apache Struts-webapplikationsramme. Ved at udnytte sådanne fejl kan angribere narre applikationer til at udføre vilkårlig kode og kommandoer, hvilket også var tilfældet nu med denne Confluence-sårbarhed.
Volexity
Den første rapport om sårbarheden kom den 2. juni fra sikkerhedsfirmaet Volexity, som opdagede det, mens han undersøgte en sikkerhedshændelse hos en kunde, der involverede en kompromitteret Confluence Server tilgængelig fra internettet. “En indledende gennemgang af et af Confluence Server-systemerne identificerede hurtigt, at en JSP-fil var blevet skrevet ind i en offentligt tilgængelig webmappe,” skrev Volexity-forskerne i et blogindlæg. “Filen var en velkendt kopi af JSP-varianten af China Chopper-webshellen. En gennemgang af weblogfilerne viste imidlertid, at filen næppe var blevet tilgået. Webshellen ser ud til at være skrevet som et middel til sekundær adgang.”
Ved analyse af et hukommelsesdump fra serveren fandt forskerne bevis for, at Confluence-webapplikationen lancerede bash-skaller. Disse er kommandolinjeskaller i Linux. Først affødte Confluence-processen en bash-proces, som derefter skabte en Python-proces, som igen skabte en bash-skal. Dette blev efterfulgt af implementering af et offentligt tilgængeligt hukommelsesimplantat kaldet BEHINDER, der tidligere er blevet brugt på angreb mod webservere. Ulempen ved dette implantat er, at det ikke er vedvarende og forsvinder, hvis serveren genstartes, hvorfor angriberne valgte at skrive China Chopper-webshellen til disken for at få en sekundær måde at få adgang til og geninficere systemet på.
Opdatering 4. juli: Akamai-rapporten indikerer en syvdobling af OGNL-injektionsangreb, siden Confluence-sårbarheden blev afsløret. Før afsløringen identificerede Akamais overvågning omkring 790 OGNL-injektionsforsøg om dagen, et tal, det brugte som baseline. Dette tal var på omkring 20.000 om dagen i gennemsnit på tidspunktet for rapportens udgivelse. Succesfulde forsøg har injiceret malware, herunder webshells og cryptominers, primært påvirker handel, højteknologiske og finansielle tjenesteydelser virksomheder. De tre industrier udgør omkring 75% af angrebsforsøgene.
Afbødning af og reaktion på Confluence-sårbarheden
Atlassian reagerede hurtigt på rapporten og udstedte en rådgivning med en WAF-regel og midlertidige løsninger. Kunder, der ikke kan udføre opgraderinger af den fulde version med det samme, kan kun opgradere nogle få af de berørte filer, afhængigt af hvilken version de bruger.
I en rapport den 6. juni bemærkede Cloudflare, at når det tilføjede sine egne WAF-regler for denne udnyttelse og kiggede tilbage på historiske logdata, så det de første forsøg på at udnytte sårbarheden med gyldige nyttelast starte den 26. maj. Andre forsøg matchede WAF-detektionsreglen, men havde ikke en nyttelast og var mere sandsynlige scanninger for at teste angrebsvektorer. “Nøjagtig viden om, hvordan man udnytter sårbarheden, kan være blevet konsolideret blandt udvalgte angribere og har muligvis ikke været udbredt,” Konkludere virksomheden.
Både Volexity- og Cloudflare-rapporterne indeholder indikatorer for kompromis. Da angrebene har foregået i to uger, organisationer bør analysere deres Confluence Servers for tegn på indtrængen gennem denne sårbarhed.
Kilde: CSOonline
Foto: Pexels