Bedrohung im Rampenlicht: Versuche, Atlassian Confluence Zero Day auszunutzen

Druckfreundlich, PDF & E-Mail

Am 2. Juni 2022 nahm Volexity eine koordinierte Offenlegung einer Zero-Day-Schwachstelle in Atlassian Confluence vor, die immer wieder ausgenutzt wird, CVE-2022-26134. Seit der ursprünglichen Offenlegung und der anschließenden Veröffentlichung verschiedener Proofs-of-Concept hat das Forscherteam von Barracuda Daten aus unseren weltweiten Installationen analysiert und eine Vielzahl von Versuchen entdeckt, diese Schwachstellen auszunutzen. Die Exploit-Versuche reichen von harmlosen Ausforschungen bis hin zu relativ komplexen Versuchen, Systeme mit DDoS Botnet Schadsoftware und Kryptominern zu infizieren. 

Forscher von Barracuda haben im Laufe der Zeit einen stetigen Angriffsfluss mit einigen Spitzen, insbesondere am 13. Juni, festgestellt. Es wird erwartet, dass wir in nächster Zeit weiterhin eine beträchtliche Menge solcher Versuche sehen werden. 

 

Bedrohung im Fokus 

Atlassian Confluence Zero-Day – Atlassian Confluence ist ein Tool, das kollaborative Dokumentation ermöglicht. Am 2. Juni wurden Informationen über das, was jetzt als CVE-2022-26134 bekannt ist, veröffentlicht. Am folgenden Wochenende wurde die Schwachstelle von verschiedenen Bedrohungsakteuren bei Angriffen ausgenutzt, und in kürzester Zeit wurden böswillige Akteure darauf aufmerksam. 

Über die Schwachstelle können nicht authentifizierte Remote-Angreifer neue Administratorkonten anlegen, bevorrechtigte Befehle ausführen und so die Kontrolle über die Server übernehmen. 

Exploit-Versuche stammen hauptsächlich von IP-Adressen in Russland, gefolgt von den USA, Indien, den Niederlanden und Deutschland. Wie bei früheren Untersuchungen festgestellt wurde,stammen die Angriffe, die von US-IP-Adressen ausgingen, hauptsächlich von Cloud-Anbietern. Auch in Deutschland gingen die meisten Angriffe von Hosting-Anbietern aus. 

 

 

Beispiele für Payload

Zunächst wollen wir uns einige der „harmloseren“ Payloads ansehen, auf die wir gestoßen sind.

Beispiel 1:

Dies wird folgendermaßen dekodiert:

Dies war ein gewöhnlicher Versuch, bei dem es sich um ein Proof-of-Concept-Skript (PoC) handelt, das direkt von GitHub stammt und im Grunde versucht, einen „whoami“-Befehl auf dem Server auszuführen, um festzustellen, ob er wirklich für die Confluence-Schwachstelle anfällig ist.

Beispiel 2:


Dies wird folgendermaßen dekodiert:

Hier wird netstat -an ausgeführt, um Systeminformationen zu erheben, möglicherweise zu Erkundungszwecken oder einfach nur, um zu testen, ob der Host Schwachstellen hat, ähnlich wie in den Fällen von „whoami“ und dem Abgreifen von /etc/passwd.

Beispiel 3:

Dies wird folgendermaßen dekodiert:

Dies ist ein weiteres häufiges Beispiel, bei dem der Angreifer versucht, die Datei /etc/passwd auszulesen, falls es sich um ein Linux/Unix-System handelt, auf dem Confluence ausgeführt wird. In den meisten Fällen handelt es sich um einen Erkundungsversuch.

Was Web-Shells anbelangt, finden Sie nachfolgend ein Beispiel für den Versuch, eine Web-Shell zu positionieren, der in unseren Beispielen gesehen wurde.

Schließlich wird der große Base64-String in diese Webshell dekodiert:

 

Diese Web-Shell ist praktisch eine exakte Kopie einer Beispiel-Web-Shell aus „The Art of Network Penetration Testing“ von Royce Davis.

Das nächste Beispiel ist einer der unmittelbar destruktiven Versuche, bösartige Aktionen durchzuführen.

Dies wird folgendermaßen dekodiert:

Wie hier zu sehen ist, hat der Angreifer versucht, alles in der Confluence-Installation zu löschen, einschließlich des Stammverzeichnisses. Im Wesentlichen wurde der Confluence-Server gelöscht und bei den Eigentümern der Anwendung ein großes Chaos verursacht.

Payloads platzieren Mirai-Malware

Außerdem haben wir eine Reihe von Versuchen beobachtet, Confluence-Server mit Malware zu infizieren. Bedrohungsakteure suchen weiter nach neuen Schwachstellen, die sie bei ihren Versuchen, ihre Botnets auszubauen, ausnutzen können. Sehen wir uns ein paar Beispiele dafür an.

Beispiel 1:

Dies wird folgendermaßen dekodiert:

Dieses Skript ares.sh taucht in verschiedenen Formen in der URLHaus-Datenbank abuse.ch auf. Die meisten Einträge beziehen sich auf eine Variante des Mirai-Botnetzes, wobei einige Shell-Skripte auch auf demselben Server gehostet werden.

Ein Blick auf VirusTotal zeigt, dass eine Reihe von Security-Anbietern dies als Malware eingestuft haben, und die Website ist dafür bekannt, auch andere Mirai-Downloads zu hosten.

 

Beispiel 2:

Dies ist ein weiteres einfaches Beispiel für einen Einschleusungsversuch der Mirai DDoS-Malware:

Dies wird folgendermaßen dekodiert:

 

 

Wie Sie sich vor solchen Angriffen schützen können

Wie bereits erwähnt, bleibt das Interesse an dieser Schwachstelle konstant mit gelegentlichen Spitzen, und unsere Forscher gehen davon aus, dass es noch einige Zeit lang Scans und Exploits geben wird, sie auszunutzen. In Anbetracht des hohen Interesses von Cyberkriminellen ist es wichtig, Maßnahmen zum Schutz Ihrer Systeme zu ergreifen.

  • Patching – Der optimale Zeitpunkt für das Patching ist jetzt, insbesondere wenn das System in irgendeiner Weise mit dem Internet verbunden ist.
  • Web Application firewall – Die Platzierung einer Web Application Firewall vor solchen Systemen erhöht die tiefgreifenden Verteidigungsmechanismen gegen Zero-Day-Angriffe und andere Schwachstellen.

In Teil 2 dieses Berichts werden wir uns die Kryptominer, die wir gesehen haben, genauer anschauen, und uns etwas ausführlicher mit einem interessanten Konkurrenzverhalten eines von ihnen beschäftigen.

 

Nach oben scrollen
Twittern
Teilen
Teilen