Bedrohung im Rampenlicht: Versuche, Atlassian Confluence Zero Day auszunutzen
Am 2. Juni 2022 führte Volexity eine koordinierte Offenlegung einer Zero-Day-Schwachstelle in Atlassian Confluence durch, die in der Praxis bereits ausgenutzt wurde: CVE-2022-26134. Seit der ursprünglichen Offenlegung und anschließenden Veröffentlichung verschiedener Proofs of Concept haben Barracuda-Experten Daten aus unseren Installationen weltweit analysiert und eine große Anzahl von Versuchen entdeckt, diese Schwachstelle auszunutzen. Die Angriffsversuche reichen von harmlosen Erkundungen bis hin zu relativ komplexen Versuchen, Systeme mit DDoS-Botnet-Malware und Kryptominern zu infizieren.
Die Experten von Barracuda haben im Laufe der Zeit einen stetigen Fluss von Angriffen beobachtet, mit einigen Spitzen, insbesondere am 13. Juni. Es ist davon auszugehen, dass wir auch in Zukunft eine erhebliche Anzahl solcher Versuche sehen werden.
Bedrohung im Fokus
Atlassian Confluence Zero-Day – Atlassian Confluence ist ein Tool, das kollaborative Dokumentation ermöglicht. Am 2. Juni wurden Informationen über das, was jetzt als CVE-2022-26134 bekannt ist, veröffentlicht. Am folgenden Wochenende wurde die Schwachstelle von verschiedenen Bedrohungsakteuren bei Angriffen ausgenutzt, und in kürzester Zeit wurden böswillige Akteure darauf aufmerksam.
Über die Schwachstelle können nicht authentifizierte Remote-Angreifer neue Administratorkonten anlegen, bevorrechtigte Befehle ausführen und so die Kontrolle über die Server übernehmen.
Die Angriffe kamen in erster Linie von IP-Adressen in Russland, gefolgt von den USA, Indien, den Niederlanden und Deutschland. Wie aus früheren Untersuchungen hervorgeht, stammen die Angriffe von US-IP-Adressen hauptsächlich von Cloud-Anbietern. Ähnlich verhält es sich in Deutschland, wo die meisten Angriffe über Hosting-Anbieter durchgeführt wurden.
Beispiele für Payload
Zunächst wollen wir uns einige der „harmloseren“ Payloads ansehen, auf die wir gestoßen sind.
Beispiel 1:
Beispiel 2:
Dies wird folgendermaßen dekodiert:
Beispiel 3:
Was Web-Shells anbelangt, finden Sie nachfolgend ein Beispiel für den Versuch, eine Web-Shell zu positionieren, der in unseren Beispielen gesehen wurde.
Diese Web-Shell ist praktisch eine exakte Kopie einer Beispiel-Web-Shell aus „The Art of Network Penetration Testing“ von Royce Davis.
Das nächste Beispiel ist einer der unmittelbar destruktiven Versuche, bösartige Aktionen durchzuführen.
Payloads platzieren Mirai-Malware
Außerdem haben wir eine Reihe von Versuchen beobachtet, Confluence-Server mit Malware zu infizieren. Bedrohungsakteure suchen weiter nach neuen Schwachstellen, die sie bei ihren Versuchen, ihre Botnets auszubauen, ausnutzen können. Sehen wir uns ein paar Beispiele dafür an.
Beispiel 1:
Ein Blick auf VirusTotal zeigt, dass eine Reihe von Security-Anbietern dies als Malware eingestuft haben, und die Website ist dafür bekannt, auch andere Mirai-Downloads zu hosten.
Dies ist ein weiteres einfaches Beispiel für einen Versuch, die Mirai DDoS-Malware einzufügen:
Wie Sie sich vor solchen Angriffen schützen können
Wie bereits erwähnt, bleibt das Interesse an dieser Schwachstelle konstant mit gelegentlichen Spitzen, und unsere Forscher gehen davon aus, dass es noch einige Zeit lang Scans und Exploits geben wird, sie auszunutzen. In Anbetracht des hohen Interesses von Cyberkriminellen ist es wichtig, Maßnahmen zum Schutz Ihrer Systeme zu ergreifen.
- Patching – Der optimale Zeitpunkt für das Patching ist jetzt, insbesondere wenn das System in irgendeiner Weise mit dem Internet verbunden ist.
- Web Application firewall – Die Platzierung einer Web Application Firewall vor solchen Systemen erhöht die tiefgreifenden Verteidigungsmechanismen gegen Zero-Day-Angriffe und andere Schwachstellen.
In Teil 2 dieses Berichts werden wir uns die Kryptominer, die wir gesehen haben, genauer anschauen, und uns etwas ausführlicher mit einem interessanten Konkurrenzverhalten eines von ihnen beschäftigen.
