Atores maliciosos estão se aproveitando de vulnerabilidades públicas para explorar uma falha crítica de execução de código remoto, de zero dias, que se estendem a todas as versões de um popular programa de colaboração usado tanto em servidores híbridos quanto em ambientes de nuvem, e que pode permitir a tomada completa do servidor.
Os cientistas da Volexity descobriram uma falha no Confluence Server e no Data Center do Atlassian durante o fim de semana do Memorial Day, após detectarem comportamentos suspeitos em dois servidores web direcionados para a Web, que pertenciam a um usuário que mantinha o programa, de acordo com um artigo publicado semana passada.
Os investigadores rastrearam uma falha na exploração pública da vulnerabilidade CVE-2022-26134, que está se disseminando rapidamente, e posteriormente avisaram a Atlassian. Segundo os pesquisadores da Volexity, o que foi descrito como uma “vulnerabilidade de injeção OGNL” parece permitir que um Webshell Java Server Page (JSP) seja salvo em um diretório web de alcance público no software Confluence.
Os investigadores notaram que o arquivo era uma replica famosa do JSP da China Chopper webshell. De acordo com os registros da web, o webshell parece não ter sido muito acessado. Parece que o webshell foi criado como um meio de acesso auxiliar.
No mesmo dia em que foi divulgada a falha da Volexity, a Atlassian lançou uma consultoria de segurança, informando aos seus clientes que todas as versões do Confluence Server e Data Center após a versão 1.3.0 estavam sendo afetadas e nenhuma atualização estava disponível. Isso motivou a CISA (Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna dos EUA) a emitir um alerta sobre a falha.
No dia seguinte, a Atlassian lançou uma atualização para corrigir as versões afetadas dos produtos: 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 e 7.18.1; eles também encorajaram as pessoas a atualizarem o mais rápido possível. Caso isso não fosse possível, eles ofereceram conselhos sobre como lidar com a falha de forma “temporária”, fornecendo um conjunto de arquivos específicos para as versões específicas do produto.
Aumento de ameaça
A gravidade da situação está progredindo rapidamente, de acordo com os profissionais de segurança, que prevêem que ela possa atingir proporções enormes. Exploits estão aparecendo diariamente e muitos endereços IP únicos já foram vítimas da vulnerabilidade. Além disso, ainda há versões dos produtos afetados que não foram corrigidas, o que torna o cenário ainda mais perigoso.
Naveen Sunkavalley, arquiteto-chefe da empresa de segurança Horizon3.ai, observou em um e-mail para Threatpost que “a vulnerabilidade CVE-2022-26134 é tão ruim quanto parece”. Ele destacou que essa vulnerabilidade é extremamente fácil de localizar e explorar, podendo ser aproveitada com apenas um pedido HTTP GET.
Além disso, os exploits recentemente disponibilizados permitem que os invasores aproveitem a vulnerabilidade para executar comandos arbitrários e assumir o controle de várias versões da Confluência – inclusive a última versão, 7.18.0, observada nos testes realizados pela Horizon3.ai, de acordo com Sunkavaley.
No último fim de semana, o Twitter foi tomado por debates sobre possíveis explorações públicas de vulnerabilidades. No sábado, Andrew Morris, CEO da empresa de segurança cibernética GreyNoise, twittou que a segurança atlas havia sido alvo de 23 endereços IP exclusivos. Na segunda-feira, Morris relatou que o número de IPs que haviam tentado explorar a falha tinha aumentado para 400 dentro de apenas 24 horas.
Possibilidade de um novo SolarWinds?
Sunkavalley mencionou que a vulnerabilidade é evidente, pois os agressores podem facilmente infiltrar-se em sistemas influentes para conquistar adesão nas redes internas e, em seguida, causar danos ainda mais graves.
Muitas vezes, as instâncias de influência têm um conjunto vasto de dados do usuário e detalhes de negócios significativos que são benéficos para os invasores que se deslocam internamente dentro de redes, de acordo com Sunkavalley.
Além disso, a vulnerabilidade é um problema de programação, e assaltos a este nível “são alguns dos mais eficientes e de maior porte à área de Tecnologia da Informação”, disse Garrett Grajek, CEO da companhia de segurança YouAttest.
O ataque de cadeia de suprimentos SolarWinds que atingiu fama há alguns meses, começando em dezembro de 2020 e se prolongando até o início de 2021, foi um exemplo do nível de dano e da escala de ameaças que um malware incorporado pode causar. O bug de Confluence, de acordo com ele, tem o potencial de criar um cenário semelhante.
Ao invadirem a base de código-fonte, os hackers possuem a capacidade de alterar o código para se tornarem, na verdade, representantes da empresa hacking, que ficam registrados criptograficamente como elementos autênticos na infraestrutura de TI”, afirmou Grajek.
É essencial que as empresas reviram seu código e em especial as identidades que têm acesso ao sistema de origem, tais como a Atlassian, para assegurar o acesso limitado e adequado às suas fontes essenciais de código, declarou.
Mande esse artigo para outras pessoas.
- A temperatura alcançou um novo máximo.
- Vulnerabilidades de segurança são brechas de segurança que podem ser usadas por invasores para infringir o sistema.
