Atlassian ha avvertito i suoi clienti che gli hacker stanno sfruttando una vulnerabilità zero-day in tutte le versioni supportate di Confluence Server e Data Center.
“Abbiamo contattato direttamente tutti i clienti potenzialmente vulnerabili per avvisarli di questa vulnerabilità. I team di ingegneri di Atlassian stanno lavorando attivamente a una patch e aggiorneremo il nostro avviso di sicurezza con una stima del completamento non appena possibile“, ha dichiarato il portavoce.
Atlassian ha mantenuto un riserbo sulle specifiche della vulnerabilità critica di esecuzione di codice remoto non autenticato, nel tentativo di proteggere gli utenti mentre viene creata una patch. Nel suo avviso sul problema, la società ha dichiarato che una correzione di sicurezza sarà “disponibile per il download da parte dei clienti entro 24 ore (tempo stimato, entro il 3 giugno EOD PDT)“.
L’azienda suggerisce agli utenti di limitare l’accesso alle istanze di Confluence Server e Data Center da Internet o di disabilitare le istanze. Per coloro che non possono adottare queste misure, Atlassian ha suggerito di implementare una regola del Web Application Firewall che blocchi gli URL contenenti ${.
Atlassian ha dichiarato che il problema è stato scoperto dalla società di sicurezza Volexity, che ha pubblicato il proprio blog sulla vulnerabilità.
Abbiamo trovato un 0day remoto, pre-auth, che viene sfruttato in Confluence Server. Nel post del blog, abbiamo descritto le fasi dell’analisi forense e fornito gli IOC attualmente disponibili. Se disponete di questo prodotto, dovete occuparvene immediatamente poiché non è disponibile alcuna patch
- Andrew Case (@attrc) 2 giugno 2022
I ricercatori di sicurezza di Volexity Andrew Case, Sean Koessel, Steven Adair e Thomas Lancaster hanno dichiarato di aver condotto un’indagine di risposta agli incidenti durante il fine settimana del Memorial Day che ha riguardato attività sospette su due server web rivolti a Internet appartenenti a uno dei suoi clienti che eseguivano il software Atlassian Confluence Server.
“Dopo un esame approfondito dei dati raccolti, Volexity è stata in grado di determinare che la compromissione del server derivava da un attaccante che lanciava un exploit per ottenere l’esecuzione di codice da remoto. Volexity è stata successivamente in grado di ricreare tale exploit e di identificare una vulnerabilità zero-day che ha un impatto sulle versioni completamente aggiornate di Confluence Server“, ha spiegato l’azienda.
Il 31 maggio, Volexity ha contattato Atlassian e ha notato che la vulnerabilità assomiglia a “vulnerabilità precedenti che sono state sfruttate per ottenere l’esecuzione di codice remoto“.
Volexity ha dichiarato che queste vulnerabilità sono particolarmente pericolose perché consentono agli aggressori di eseguire comandi e di “ottenere il pieno controllo di un sistema vulnerabile senza credenziali, purché sia possibile effettuare richieste web al sistema Confluence Server“.
Riteniamo che questo exploit sia nelle mani di più attori delle minacce CN e da quando abbiamo pubblicato il nostro blog siamo venuti a conoscenza di molte altre organizzazioni compromesse oltre al nostro lavoro iniziale e alla nostra visibilità. Il fenomeno si sta diffondendo.
- Steven Adair (@stevenadair) 2 giugno 2022
L’aggressore scoperto da Volexity ha sfruttato la vulnerabilità e ha distribuito una copia di BEHINDER, un popolare impianto di server web che, a detta di Volexity, “fornisce capacità molto potenti agli aggressori, tra cui webshell di sola memoria e supporto integrato per l’interazione con Meterpreter e Cobalt Strike”.
La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un proprio avviso sul bug e lo ha immediatamente aggiunto al proprio catalogo di vulnerabilità sfruttate note.