Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

AON descobre backdoor com persistência atacando Atlassian

Share on linkedin
Share on twitter
Share on facebook

Pesquisadores de segurança cibernética da Stroz Friedberg da Aon identificaram uma nova ameaça chamada Effluence, um backdoor que explora vulnerabilidades recentemente descobertas no Atlassian Confluence Data Center and Server. Os pesquisadores publicaram uma análise detalhada, segundo a qual o código malicioso do Effluence atua como um backdoor permanente e não é eliminado mesmo após a instalação de patches para o Confluence.

O Effluence oferece a capacidade de navegar na web e recuperar dados do Confluence. Os invasores podem acessar o backdoor remotamente sem precisar se autenticar no sistema de destino.

Os pesquisadores detalharam a cadeia de ataque, que começou com a exploração da vulnerabilidade CVE-2023-22515 no Atlassian. Esta falha crítica, divulgada pela primeira vez no início de outubro , permite a criação de contas de administrador não autorizadas do Confluence e o acesso aos servidores.

Pouco depois disso , uma segunda vulnerabilidade foi descoberta no Atlassian , CVE-2023-22518 , que também permite que invasores criem contas de administrador falsas, o que poderia levar à perda total de confidencialidade e fácil acesso aos dados.

No último ataque analisado em Stroz Friedberg, os invasores obtiveram acesso inicial via CVE-2023-22515 e, em seguida, implementaram um novo web wrapper que permitiu acesso remoto persistente a todas as páginas da web do servidor, incluindo a página de login, sem autenticação.

O web shell, que consiste em um carregador e uma carga útil, é passivo, permitindo que solicitações passem por ele sem serem detectadas até que uma solicitação que corresponda a um determinado parâmetro seja fornecida.

Ações maliciosas são então iniciadas, incluindo a criação de uma nova conta administrativa, execução de comandos arbitrários no servidor, listagem, leitura e exclusão de arquivos, coleta de informações extensas sobre o ambiente Atlassian e exclusão de logs para ocultar rastros de atividade.

De acordo com Stroz Friedberg, o downloader acima atua como um plugin normal do Confluence e é responsável por descriptografar e executar a carga útil. Embora algumas funcionalidades do web shell dependam especificamente da API do Confluence , o mecanismo de carregamento e plug-in parece ser baseado em APIs comuns da Atlassian e é potencialmente aplicável ao JIRA , Bitbucket e outros produtos da Atlassian onde um invasor poderia instalar o plug-in.