Uno 0day su Atlassian Confluence senza patch è sfruttato attivamente

Gli hacker stanno sfruttando attivamente una nuova vulnerabilità zero-day di Atlassian Confluence tracciata come CVE-2022-26134 per installare web shell, senza che al momento siano disponibili soluzioni.

Oggi Atlassian ha rilasciato un  avviso di sicurezza  in cui rivela che la CVE-2022-26134 è una vulnerabilità critica di esecuzione di codice in modalità remota non autenticata (RCE), rilevata sia in Confluence Server che nei Data Center.

Atlassian afferma di aver confermato la vulnerabilità in Confluence Server 7.18.0 e di ritenere che anche Confluence Server e Data Center 7.4.0 e versioni successive siano vulnerabili.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’avviso avverte che gli attori delle minacce stanno sfruttando attivamente Confluence Server 7.18.0.

Poiché non sono disponibili patch, Atlassian consiglia ai clienti di rendere inaccessibili i propri server con uno di questi due metodi:

• Limitazione delle istanze di Confluence Server e Data Center da Internet;
• Disabilitazione delle istanze di Confluence Server e Data Center.

Non ci sono altri modi per mitigare questa vulnerabilità al momento.

Le organizzazioni che utilizzano Atlassian Cloud (accessibile tramite atlassian.net) non sono interessate da questa vulnerabilità.

Atlassian sta lavorando attivamente a una patch e rilascerà ulteriori informazioni nel proprio avviso non appena sarà disponibile.

La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto questo zero-day al suo “Catalogo delle vulnerabilità sfruttate note” richiedendo alle agenzie federali di bloccare tutto il traffico Internet verso i server Confluence entro domani, 3 giugno.

In una divulgazione coordinata, la società di sicurezza informatica Volexity ha spiegato che la vulnerabilità è stata scoperta durante il fine settimana del Memorial Day durante l’esecuzione della risposta agli incidenti.

Dopo aver condotto le indagini, Volexity ha potuto riprodurre l’exploit contro l’ultima versione di Confluence Server e lo ha rivelato ad Atlassian il 31 maggio.

“Dopo un’analisi approfondita dei dati raccolti, Volexity è stata in grado di determinare la compromissione del server derivata da un utente malintenzionato che ha lanciato un exploit per ottenere l’esecuzione di codice in modalità remota”

spiega un  post sul blog  di Volexity.

“Volexity è stata successivamente in grado di ricreare l’exploit e identificare una vulnerabilità zero-day che ha un impatto sulle versioni completamente aggiornate di Confluence Server”.

Nella violazione analizzata da Volexity, gli attori delle minacce hanno installato  BEHINDER, una shell Web JSP che consente agli attori delle minacce di eseguire comandi sul server compromesso da remoto.

Gli attori delle minacce hanno quindi utilizzato BEHINDER per installare la shell web China Chopper e un semplice strumento di caricamento file come backup.

Dall’indagine di Volexity, gli attori delle minacce hanno scaricato le tabelle utente del server Confluence, scritto shell web aggiuntive e alterato i registri di accesso per eludere il rilevamento.

Volexity afferma che molteplici attori delle minacce provenienti dalla Cina stiano utilizzando questi exploit.

Poiché non sono disponibili patch, Volexity consiglia inoltre agli amministratori di Confluence di disconnettere i propri server da Internet fino a quando Atlassian non rilascerà una correzione.

Volexity ha rilasciato un  elenco di indirizzi IP  dietro gli attacchi e le  regole Yara  per identificare l’attività della shell web sui server Confluence.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.