Atores maliciosos estão se aproveitando de vulnerabilidades públicas para explorar uma falha crítica de execução de código remoto, de zero dias, que se estendem a todas as versões de um popular programa de colaboração usado tanto em servidores híbridos quanto em ambientes de nuvem, e que pode permitir a tomada completa do servidor.
Os cientistas da Volexity descobriram uma falha no Confluence Server e no Data Center do Atlassian durante o fim de semana do Memorial Day, após detectarem comportamentos suspeitos em dois servidores web direcionados para a Web, que pertenciam a um usuário que mantinha o programa, de acordo com um artigo publicado semana passada.
Os investigadores rastrearam uma falha na exploração pública da vulnerabilidade CVE-2022-26134, que está se disseminando rapidamente, e posteriormente avisaram a Atlassian. Segundo os pesquisadores da Volexity, o que foi descrito como uma “vulnerabilidade de injeção OGNL” parece permitir que um Webshell Java Server Page (JSP) seja salvo em um diretório web de alcance público no software Confluence.
![Infosec Insiders Newsletter](https://geniotecno.com/wp-content/uploads/2023/08/infosec_insiders_in_article_promo-60.png)
Os investigadores notaram que o arquivo era uma replica famosa do JSP da China Chopper webshell. De acordo com os registros da web, o webshell parece não ter sido muito acessado. Parece que o webshell foi criado como um meio de acesso auxiliar.
No mesmo dia em que foi divulgada a falha da Volexity, a Atlassian lançou uma consultoria de segurança, informando aos seus clientes que todas as versões do Confluence Server e Data Center após a versão 1.3.0 estavam sendo afetadas e nenhuma atualização estava disponível. Isso motivou a CISA (Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna dos EUA) a emitir um alerta sobre a falha.
No dia seguinte, a Atlassian lançou uma atualização para corrigir as versões afetadas dos produtos: 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 e 7.18.1; eles também encorajaram as pessoas a atualizarem o mais rápido possível. Caso isso não fosse possível, eles ofereceram conselhos sobre como lidar com a falha de forma “temporária”, fornecendo um conjunto de arquivos específicos para as versões específicas do produto.
Aumento de ameaça
A gravidade da situação está progredindo rapidamente, de acordo com os profissionais de segurança, que prevêem que ela possa atingir proporções enormes. Exploits estão aparecendo diariamente e muitos endereços IP únicos já foram vítimas da vulnerabilidade. Além disso, ainda há versões dos produtos afetados que não foram corrigidas, o que torna o cenário ainda mais perigoso.
Naveen Sunkavalley, arquiteto-chefe da empresa de segurança Horizon3.ai, observou em um e-mail para Threatpost que “a vulnerabilidade CVE-2022-26134 é tão ruim quanto parece”. Ele destacou que essa vulnerabilidade é extremamente fácil de localizar e explorar, podendo ser aproveitada com apenas um pedido HTTP GET.
Além disso, os exploits recentemente disponibilizados permitem que os invasores aproveitem a vulnerabilidade para executar comandos arbitrários e assumir o controle de várias versões da Confluência – inclusive a última versão, 7.18.0, observada nos testes realizados pela Horizon3.ai, de acordo com Sunkavaley.
No último fim de semana, o Twitter foi tomado por debates sobre possíveis explorações públicas de vulnerabilidades. No sábado, Andrew Morris, CEO da empresa de segurança cibernética GreyNoise, twittou que a segurança atlas havia sido alvo de 23 endereços IP exclusivos. Na segunda-feira, Morris relatou que o número de IPs que haviam tentado explorar a falha tinha aumentado para 400 dentro de apenas 24 horas.
Possibilidade de um novo SolarWinds?
Sunkavalley mencionou que a vulnerabilidade é evidente, pois os agressores podem facilmente infiltrar-se em sistemas influentes para conquistar adesão nas redes internas e, em seguida, causar danos ainda mais graves.
Muitas vezes, as instâncias de influência têm um conjunto vasto de dados do usuário e detalhes de negócios significativos que são benéficos para os invasores que se deslocam internamente dentro de redes, de acordo com Sunkavalley.
Além disso, a vulnerabilidade é um problema de programação, e assaltos a este nível “são alguns dos mais eficientes e de maior porte à área de Tecnologia da Informação”, disse Garrett Grajek, CEO da companhia de segurança YouAttest.
O ataque de cadeia de suprimentos SolarWinds que atingiu fama há alguns meses, começando em dezembro de 2020 e se prolongando até o início de 2021, foi um exemplo do nível de dano e da escala de ameaças que um malware incorporado pode causar. O bug de Confluence, de acordo com ele, tem o potencial de criar um cenário semelhante.
Ao invadirem a base de código-fonte, os hackers possuem a capacidade de alterar o código para se tornarem, na verdade, representantes da empresa hacking, que ficam registrados criptograficamente como elementos autênticos na infraestrutura de TI”, afirmou Grajek.
É essencial que as empresas reviram seu código e em especial as identidades que têm acesso ao sistema de origem, tais como a Atlassian, para assegurar o acesso limitado e adequado às suas fontes essenciais de código, declarou.
Mande esse artigo para outras pessoas.
- A temperatura alcançou um novo máximo.
- Vulnerabilidades de segurança são brechas de segurança que podem ser usadas por invasores para infringir o sistema.