Atlassian ha advertido sobre una vulnerabilidad crítica de ejecución remota de código sin parches que afecta a los productos Confluence Server y Data Center que, según dijo, se está explotando en el internet. La compañía de software australiana le dio crédito a la firma de ciberseguridad Volexity por identificar la falla, que se rastrea como CVE-2022-26134.
Impacto de la vulnerabilidad
Volexity, en una divulgación independiente, dijo que detectó la actividad durante el fin de semana del Día de los Caídos en los EE. UU. como parte de una investigación de respuesta a incidentes. La cadena de ataque implicó aprovechar el exploit de día cero de Atlassian, una vulnerabilidad de inyección de comandos, para lograr la ejecución remota de código no autenticado en el servidor, lo que permitió al actor de amenazas usar el punto de apoyo para colocar el shell web Behinder.
Según los investigadores, Behinder proporciona capacidades muy poderosas a los atacantes, incluidos webshells de solo memoria y soporte integrado para la interacción con Meterpreter y Cobalt Strike. Al mismo tiempo, no permite la persistencia, lo que significa que un reinicio del equipo o del servicio lo eliminará.
Productos afectados
Los productos que se vieron afectados por la vulnerabilidad son:
- Confluence Server
- Confluence Data Center
De acuerdo a Atlassian, se ha confirmado que las versiones afectadas son las siguientes: 7.4.0, 7.13.0, 7.14.0, 7.15.0, 7.16.0, 7.15.1, 7.14.2, 7.17.0, 7.4.16, 7.18.0, 7.16.3, 7.13.6, 7.17.3
Una actualización a la versión 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 o 7.18.1 elimina esta vulnerabilidad. La actualización se puede descargar de atlassian.com.
Indicadores de compromiso (IOCs)
A continuación, se enlistan las IPs que interactuaban o explotaban los servidores de Confluence en mayo de 2022.
- 156[.]146[.]34[.]46
- 156[.]146[.]34[.]9
- 156[.]146[.]56[.]136
- 198[.]147[.]22[.]148
- 45[.]43[.]19[.]91
- 66[.]115[.]182[.]102
- 66[.]115[.]182[.]111
- 67[.]149[.]61[.]16
- 154[.]16.[]105[.]147
- 64[.]64[.]228[.]239
- 156[.]146[.]34[.]52
- 154[.]146[.]34[.]145
- 221[.]178[.]126[.]244
- 59[.]163[.]248[.]170
- 98[.]32[.]230[.]38
Recomendaciones
- En ausencia de una solución, Atlassian insta a los clientes a restringir las instancias de Confluence Server y Data Center de Internet o considerar deshabilitar las instancias por completo.
- Alternativamente, Atlassian recomendó implementar una regla de firewall de aplicaciones web (WAF) que bloquea las URL que contienen «${« para reducir el riesgo.
Para mayor información
- https://jira.atlassian.com/browse/CONFSERVER-79016
- https://thehackernews.com/2022/06/hackers-exploiting-unpatched-critical.html
- https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
- https://github.com/volexity/threat-intel/blob/main/2022/2022-06-02%20Active%20Exploitation%20Of%20Confluence%200-day/indicators/indicators.csv
- https://www.securityweek.com/atlassian-confluence-servers-hacked-zero-day-vulnerability