Zero-Day в Atlassian Confluence

vulnerability vulnerability

27-30 мая компания Volexity провела расследование инцидента, связанного с двумя веб-серверами, выходящими в Интернет, на которых было установлено программное обеспечение Atlassian Confluence Server. Расследование началось после обнаружения подозрительной активности на хостах, которая включала запись на диск веб-оболочек JSP.

Компания Volexity смогла определить, что компрометация сервера произошла в результате запуска злоумышленником эксплойта для удаленного выполнения кода, и выявила уязвимость нулевого дня, влияющую на полностью обновленные версии Confluence Server.

Этот эксплойт, которому теперь присвоен номер CVE-2022-26134, позволяет неавторизованное удаленное выполнение кода на серверах. Подобные уязвимости опасны, поскольку злоумышленники могут выполнять команды и получить полный контроль над уязвимой системой без учетных данных до тех пор, пока к системе Confluence Server могут быть сделаны веб-запросы. Дальнейшие подробности о самой уязвимости пока не сообщаются до появления исправления.

После успешной эксплуатации систем Confluence Server злоумышленник немедленно развернул копию импланта BEHINDER в памяти. BEHINDER предоставляет злоумышленникам очень мощные возможности, включая веб-шеллы только для памяти и встроенную поддержку взаимодействия с Meterpreter и Cobalt Strike, и имеет значительные преимущества, поскольку не записывает файлы на диск. В то же время, он не допускает персистентности, что означает, что перезагрузка или перезапуск службы уничтожит его. После развертывания BEHINDER злоумышленник использовал веб-оболочку in-memory для развертывания двух дополнительных веб-оболочек на диск: CHINA CHOPPER и пользовательскую оболочку загрузки файлов.

China Chopper находится в открытом доступе и обеспечивает доступ в корпоративную сеть, который не зависит от обращения зараженной системы к удаленному серверу управления. Его использовали несколько групп, включая: Leviathan, BackdoorDiplomacy, Threat Group-3390, APT41, HAFNIUM, Fox Kitten и GALLIUM.

Смягчение последствий

Atlassian отмечает: Сайты Atlassian Cloud защищены. Если доступ к вашему сайту Confluence осуществляется через домен atlassian.net, он не уязвим. Расследование не выявило никаких доказательств эксплуатации Atlassian Cloud.

После первоначальной публикации компания Atlassian выпустила версии, содержащие исправление.

Компания Atlassian рекомендует обновить систему до последней версии с долгосрочной поддержкой:

  • Версии 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 и 7.18.1 теперь содержат исправление этой проблемы.

Если вы не можете обновить Confluence немедленно, то в качестве временного обходного пути вы можете устранить проблему CVE-2022-26134, обновив следующие файлы для конкретной версии продукта:

Для Confluence 7.15.0 - 7.18.0

Если вы используете Confluence в кластере, вам нужно будет повторить этот процесс на каждом узле. Вам не нужно выключать весь кластер.

  1. Выключите Confluence.
  2. Загрузите следующий файл 1 на сервер Confluence:
    xwork-1.0.3-atlassian-10.jar
  3. Удалите (или переместите следующий JAR за пределы каталога установки Confluence):
    <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
    [wpremark preset_name="default-warning" icon_show="1" icon_image="warning-circle-regular" icon_width="32" icon_height="32" icon_indent="16" background_show="1" border_top="0" border_right="0" border_bottom="0" border_left="0" border_width="2" shadow_show="0" shadow_x="0" shadow_y="5" shadow_blur="10" shadow_stretching="-5" shadow_opacity="0.3" title_show="0" title_bold="0" title_italic="0" title_underline="0" title_uppercase="0" title_font_size="18" title_line_height="1.5" text_bold="0" text_italic="0" text_underline="0" text_uppercase="0" padding_top="20" padding_right="20" padding_bottom="20" padding_left="20" margin_top="20" margin_right="0" margin_bottom="20" margin_left="0" border_radius="5"]Не оставляйте копию этого старого JAR в каталоге.[/wpremark]
  4. Скопируйте загруженный xwork-1.0.3-atlassian-10.jar в <confluence-install>/confluence/WEB-INF/lib/.
  5. Проверьте соответствие разрешений и прав собственности на новый файл xwork-1.0.3-atlassian-10.jar существующим файлам в том же каталоге.
  6. Запустите Confluence.

Помните, если вы используете Confluence в кластере, убедитесь, что вы применили вышеуказанное обновление на всех узлах.

Для Confluence 7.0.0 - Confluence 7.14.2

Если вы используете Confluence в кластере, вам нужно будет повторить этот процесс на каждом узле. Вам не нужно выключать весь кластер.

  1. Выключите Confluence.
  2. Загрузите следующие 3 файла на сервер Confluence:
    xwork-1.0.3-atlassian-10.jar
    webwork-2.1.5-atlassian-4.jar
    CachedConfigurationProvider.class
  3. Удалите (или переместите следующие JAR за пределы каталога установки Confluence):
    <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
    <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
    [wpremark preset_name="default-warning" icon_show="1" icon_image="warning-circle-regular" icon_width="32" icon_height="32" icon_indent="16" background_show="1" border_top="0" border_right="0" border_bottom="0" border_left="0" border_width="2" shadow_show="0" shadow_x="0" shadow_y="5" shadow_blur="10" shadow_stretching="-5" shadow_opacity="0.3" title_show="0" title_bold="0" title_italic="0" title_underline="0" title_uppercase="0" title_font_size="18" title_line_height="1.5" text_bold="0" text_italic="0" text_underline="0" text_uppercase="0" padding_top="20" padding_right="20" padding_bottom="20" padding_left="20" margin_top="20" margin_right="0" margin_bottom="20" margin_left="0" border_radius="5"]Не оставляйте копию старых JAR в каталоге.[/wpremark]
  4. Скопируйте загруженный xwork-1.0.3-atlassian-10.jar в <confluence-install>/confluence/WEB-INF/lib/
  5. Скопируйте скачанный файл webwork-2.1.5-atlassian-4.jar в <confluence-install>/confluence/WEB-INF/lib/.
  6. Проверьте разрешения и право собственности на оба новых файла, совпадающие с существующими файлами в том же каталоге.
  7. Перейдите в каталог <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
    1. Создайте новый каталог под названием webwork
    2. Скопируйте CachedConfigurationProvider.class в <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
    3. Убедитесь, что разрешения и права собственности верны для:
      <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
      <confluence-install>/connfluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
  8. Запустите Confluence.

Помните, если вы используете Confluence в кластере, убедитесь, что вы применили вышеуказанное обновление на всех узлах.

[wpremark preset_name="default-info" icon_show="1" icon_image="info-circle-regular" icon_color="#3da2e0" icon_width="32" icon_height="32" icon_indent="16" background_show="1" background_color="#e3f1f4" border_top="0" border_right="0" border_bottom="0" border_left="0" border_width="2" border_color="#3da2e0" shadow_show="0" shadow_x="0" shadow_y="5" shadow_blur="10" shadow_stretching="-5" shadow_opacity="0.3" title_show="0" title_bold="0" title_italic="0" title_underline="0" title_uppercase="0" title_font_size="18" title_line_height="1.5" text_bold="0" text_italic="0" text_underline="0" text_uppercase="0" padding_top="20" padding_right="20" padding_bottom="20" padding_left="20" margin_top="20" margin_right="0" margin_bottom="20" margin_left="0" border_radius="5" block_id="wz8Q"]Версии Confluence End of Life не полностью протестированы с данным обходным решением, хотя использование заменяющие файлы в версиях старше 7.0.0 может быть возможным, это не проверено и может вызвать проблемы.[/wpremark]

Рекомендации Volexity

  • Вместо патча рассмотрите возможность блокирования внешнего доступа к системам Confluence Server и Data Center, выходящим в Интернет.
  • Убедитесь, что веб-службы, обращенные к Интернету, имеют надежные возможности мониторинга и политики хранения журналов, чтобы помочь в случае инцидента.
  • Отправляйте соответствующие файлы журналов с веб-серверов, обращенных к Интернету, на сервер SIEM или Syslog.
  • Отслеживайте дочерние процессы процессов веб-приложений на предмет подозрительных процессов (в данном случае хорошим примером является оболочка Python).
  • Если возможно, внедрите списки контроля доступа к IP-адресам (ACL), чтобы ограничить доступ к системам, выходящим в Интернет.

Чтобы предотвратить успех этой конкретной атаки, компания Volexity также рекомендует следующее:

  • Блокировать соответствующие предоставленные IOCs.
  • Используйте приведенные здесь YARA правила для выявления связанной активности webshell, особенно на системах Confluence Server.
  • Просмотрите все недавние предупреждения, связанные с системами Confluence, которые вы могли настроить.
  • Когда Atlassian предоставит исправление для этой уязвимости, пользователи должны немедленно установить патч, поскольку эта уязвимость опасна и легко эксплуатируется.

Indicators of Compromise

IPv4

  • 154.146.34.145
  • 154.16.105.147
  • 156.146.34.46
  • 156.146.34.52
  • 156.146.34.9
  • 156.146.56.136
  • 198.147.22.148
  • 221.178.126.244
  • 45.43.19.91
  • 59.163.248.170
  • 64.64.228.239
  • 66.115.182.102
  • 66.115.182.111
  • 67.149.61.16
  • 98.32.230.38

MD5

  • ea18fb65d92e1f0671f23372bacf60e7
  • f8df4dd46f02dc86d37d46cf4793e036

SHA1

  • 4c02c3a150de6b70d6fca584c29888202cc1deef
  • 80b327ec19c7d14cc10511060ed3a4abffc821af
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий