Atlassian telah memperingatkan kerentanan eksekusi kode jarak jauh yang belum ditambal yang berdampak pada produk Confluence Server dan Pusat Data yang katanya sedang dieksploitasi secara aktif di alam liar.
Perusahaan perangkat lunak Australia memuji perusahaan keamanan siber Volexity karena mengidentifikasi kelemahannya, yang dilacak sebagai CVE-2022-26134.
“Atlassian telah diberitahu tentang eksploitasi aktif saat ini dari kerentanan eksekusi kode jarak jauh yang tidak diautentikasi tingkat keparahan kritis di Pusat Data dan Server Confluence,” katanya dalam sebuah penasehat.
“Saat ini tidak ada versi tetap dari Server dan Pusat Data Confluence yang tersedia. Atlassian bekerja dengan prioritas tertinggi untuk mengeluarkan perbaikan.” Spesifik dari kelemahan keamanan telah ditahan sampai patch perangkat lunak tersedia.
Server Confluence versi 7.18.0 diketahui telah dieksploitasi secara liar, meskipun Server Confluence dan Pusat Data versi 7.4.0 dan yang lebih baru berpotensi rentan.
Dengan tidak adanya perbaikan, Atlassian mendesak pelanggan untuk membatasi instance Confluence Server dan Data Center dari internet atau mempertimbangkan untuk menonaktifkan instance Confluence Server dan Data Center sama sekali.
Volexity, dalam pengungkapan independen, mengatakan pihaknya mendeteksi aktivitas selama akhir pekan Memorial Day di AS sebagai bagian dari penyelidikan respons insiden.
Rantai serangan melibatkan pemanfaatan eksploitasi zero-day Atlassian — kerentanan injeksi perintah — untuk mencapai eksekusi kode jarak jauh yang tidak diautentikasi di server, memungkinkan aktor ancaman menggunakan pijakan untuk menjatuhkan shell web Behinder.
“Behinder memberikan kemampuan yang sangat kuat untuk penyerang, termasuk webshells memori-saja dan dukungan built-in untuk interaksi dengan Meterpreter dan Cobalt Strike,” kata para peneliti. “Pada saat yang sama, itu tidak memungkinkan kegigihan, yang berarti reboot atau restart layanan akan menghapusnya.”
Selanjutnya, web shell dikatakan telah digunakan sebagai saluran untuk menyebarkan dua web shell tambahan ke disk, termasuk China Chopper dan shell unggah file khusus untuk mengekstrak file arbitrer ke server jauh.
Perkembangan ini terjadi kurang dari setahun setelah kelemahan eksekusi kode jarak jauh kritis lainnya di Atlassian Confluence (CVE-2021-26084, skor CVSS: 9,8) secara aktif dipersenjatai di alam liar untuk menginstal penambang cryptocurrency di server yang disusupi.
“Dengan memanfaatkan kerentanan semacam ini, penyerang dapat memperoleh akses langsung ke sistem dan jaringan yang sangat sensitif,” kata Volexity. “Lebih jauh, sistem ini seringkali sulit untuk diselidiki, karena tidak memiliki kemampuan pemantauan atau pencatatan yang tepat.”