Alerte : Une porte dérobée persistante menaçant les serveurs Confluence d’Atlassian découverte

Des chercheurs en cybersécurité ont découvert une porte dérobée furtive nommée Effluence, déployée après l’exploitation réussie d’une faille de sécurité récemment divulguée dans le centre de données et le serveur Atlassian Confluence.

« Le logiciel malveillant agit comme une porte dérobée persistante et n’est pas corrigé par l’application de correctifs à Confluence », ont déclaré les services de réponse aux incidents Stroz Friedberg d’Aon dans une analyse publiée en début de semaine.

« La porte dérobée permet un mouvement latéral vers d’autres ressources du réseau, en plus de l’exfiltration de données de Confluence. Il est important de noter que les attaquants peuvent accéder à la porte dérobée à distance sans s’authentifier auprès de Confluence ».

La chaîne d’attaque documentée par l’entité de cybersécurité impliquait l’exploitation de CVE-2023-22515 (CVSS score : 10.0), un bogue critique dans Atlassian qui pourrait être utilisé pour créer des comptes administrateurs Confluence non autorisés et accéder aux serveurs Confluence. Atlassian a depuis divulgué une seconde faille connue sous le nom de CVE-2023-22518 (CVSS score : 10.0) qu’un attaquant peut également exploiter pour créer un compte administrateur malveillant, ce qui entraîne une perte totale de confidentialité, d’intégrité et de disponibilité.

 

L’attaque la plus récente se distingue par le fait que l’adversaire a obtenu un accès initial via CVE-2023-22515 et a intégré un nouveau shell web qui permet un accès distant persistant à toutes les pages web du serveur, y compris la page de connexion non authentifiée, sans avoir besoin d’un compte d’utilisateur valide. Le shell web, composé d’un chargeur et d’une charge utile, est passif et laisse passer les requêtes sans les remarquer jusqu’à ce qu’une requête correspondant à un paramètre spécifique soit fournie, moment où il déclenche son comportement malveillant en exécutant une série d’actions. Ces actions comprennent la création d’un nouveau compte d’administrateur, la purge des journaux pour dissimuler les traces judiciaires, l’exécution de commandes arbitraires sur le serveur sous-jacent, l’énumération, la lecture et la suppression de fichiers, et la compilation d’informations détaillées sur l’environnement d’Atlassian. Le composant loader d’Aon agit comme un plugin Confluence normal et est responsable du décryptage et du lancement de la charge utile. « Plusieurs fonctions du shell web dépendent d’API spécifiques à Confluence », a déclaré le chercheur en sécurité Zachary Reichert. « Cependant, le plugin et le mécanisme loader semblent dépendre uniquement d’API Atlassian communes, potentiellement applicables à JIRA Bitbucket ou à d’autres produits Atlassian où l’attaquant peut installer le plugin. »

Partager:

Les dernières actualités :