Hacker nutzen ungepatchte kritische Atlassian Confluence Zero-Day-Schwachstelle aus

  • Atlassian warnt vor einer kritischen, ungepatchten Sicherheitslücke in Confluence Server- und Data Center-Produkten, die aktiv ausgenutzt wird.

    Das australische Softwareunternehmen verdankt die Identifizierung der Schwachstelle, die unter der Bezeichnung CVE-2022-26134 geführt wird, dem Cybersicherheitsunternehmen Volexity.

    „Atlassian wurde darauf aufmerksam gemacht, dass derzeit eine kritische Schwachstelle in Confluence Data Center und Server aktiv ausgenutzt wird, die eine unautorisierte Remotecodeausführung ermöglicht“, heißt es in einem Advisory.

    „Es sind derzeit keine korrigierten Versionen von Confluence Server und Data Center verfügbar. Atlassian arbeitet mit höchster Priorität an der Veröffentlichung eines Fixes.“ Die Einzelheiten der Sicherheitslücke wurden zurückgehalten, bis ein Software-Patch verfügbar ist.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjs4_qytN4g_voTT8EnYjXf1exVDRaJAFCbNDgniqiJGlOEIxqyqhdyepXuEycqrdL2O8Kr9N1ECYeAOpkm3SjCEZ3v4qkn2U35_5ruG01Jl6vd63zdMh5L62awds2UV50QyzEtSbzrTrWmYwmbBHxi4Tgjz-VueHJyMj-Wq40R--saAZfQBzuZQpWkIw/s1600/Bitbucket-ads.png]

    Es ist bekannt, dass Confluence Server Version 7.18.0 in freier Wildbahn ausgenutzt wurde, obwohl Confluence Server und Data Center Version 7.4.0 und höher potenziell anfällig sind.

    In Ermangelung eines Fixes empfiehlt Atlassian seinen Kunden dringend, Confluence Server- und Data Center-Instanzen vom Internet fernzuhalten oder zu erwägen, Confluence Server- und Data Center-Instanzen ganz zu deaktivieren.

    Volexity gab in einer unabhängigen Mitteilung an, dass es die Aktivitäten während des Memorial-Day-Wochenendes in den USA im Rahmen einer Incident-Response-Untersuchung entdeckt hat.

    Die Angriffskette beinhaltete die Ausnutzung des Atlassian Zero-Day-Exploits – einer Befehlsinjektionsschwachstelle – um eine nicht authentifizierte Remotecodeausführung auf dem Server zu erreichen, die es dem Bedrohungsakteur ermöglichte, die Web-Shell von Behinder zu öffnen.

    „Behinder bietet Angreifern sehr mächtige Fähigkeiten, einschließlich speicherbasierter Webshells und integrierter Unterstützung für die Interaktion mit Meterpreter und Cobalt Strike“, so die Forscher. „Gleichzeitig erlaubt es keine Persistenz, was bedeutet, dass ein Neustart oder ein Service-Neustart es auslöschen wird.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Anschließend soll die Web-Shell als Kanal benutzt worden sein, um zwei weitere Web-Shells auf der Festplatte zu installieren, darunter China Chopper und eine benutzerdefinierte Dateiupload-Shell, um beliebige Dateien auf einen entfernten Server zu exfiltrieren.

    Die Entwicklung kommt weniger als ein Jahr, nachdem eine andere kritische Schwachstelle für die Remotecodeausführung in Atlassian Confluence (CVE-2021-26084, CVSS-Score: 9.8) im letzten Jahr aktiv als Waffe eingesetzt wurde, um Kryptowährungs-Miner auf kompromittierten Servern zu installieren.

    „Durch das Ausnutzen dieser Art von Schwachstelle können Angreifer direkten Zugang zu hochsensiblen Systemen und Netzwerken erlangen“, so Volexity. „Außerdem sind diese Systeme oft schwer zu untersuchen, da ihnen die entsprechenden Überwachungs- oder Protokollierungsfunktionen fehlen.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com