internet-4521076_1280.jpg

Bug vem sendo usado ativamente para atacar plataforma Atlassian

Classificada como crítica, vulnerabilidade permite a execução remota de código (RCE) no Confluence Server e no Data Center
Da Redação
05/06/2022

Hackers estão explorando ativamente uma nova vulnerabilidade de dia zero na plataforma de desenvolvimento de software e gerenciamento de projetos Atlassian Confluence. Rastreada como CVE-2022-26134 para instalar shells da web, trata-se de uma vulnerabilidade crítica de execução remota de código (RCE) não autenticada rastreada no Confluence Server e no Data Center. 

A Atlassian confirmou a vulnerabilidade no Confluence Server 7.18.0 e acredita que o Confluence Server e o Data Center 7.4.0 e superior também estejam vulneráveis. O comunicado alerta que operadores de ameaças estão explorando ativamente o Confluence Server 7.18.0. A nota alerta que operadores de ameaças estão explorando ativamente o Confluence Server 7.18.0.

Na sexta-feira, 3, a empresa lançou atualizações de segurança que resolvem a vulnerabilidade e compartilhou o seguinte comunicado com o Bleeping Computer: “Em 3 de junho de 2022, atualizamos o comunicado de segurança com a correção para os produtos Confluence Data Center e Servidor. Consulte o comunicado para obter mais informações e instruções em https://confluence.atlassian.com/doc/confluence-security-advisory -2022-06-02-1130377146.html”

As organizações que usam o Atlassian Cloud (acessível via atlassian.net) não são afetadas por essa vulnerabilidade, afirma a empresa.

Apesar de confirmado pela Atlassian, não há alerta sobre o bug na página principal da empresa, que apresenta as ferramentas mais conhecidas da JIRA (um sistema de tíquetes de TI) e Trello (fórum de discussão), mas o usuário encontrará o Confluence Security Advisory 2022-06-02 no subsite do Confluence.

Veja isso
Manutenção da Atlassian deletou ativos de 400 clientes
Atlassian sob ataque no Brasil, China EUA, Rússia…

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA inclui essa vulnerabilidade de dia zero ao seu ‘Catálogo de Vulnerabilidades Exploradas Conhecidas’ e está exigindo que as agências federais bloqueiem todo o tráfego da internet para os servidores Confluence.

A existência do bug foi divulgada pela empresa americana de resposta a ameaças Volexity, que afirma ter descoberto a vulnerabilidade enquanto investigava um incidente que “incluía web shells JSP sendo gravados em disco”. Depois de realizar investigações, a empresa reproduziu a exploração na versão mais recente do Confluence Server e informou a Atlassian em 31 de maio.

Na violação analisada pela Volexity, os operadores de ameaças instalaram o Behinder, um shell da Web JSP que permite que executem comandos no servidor comprometido remotamente. Os hackers usaram o Behinder para instalar o shell da web China Chopper e uma ferramenta simples de upload de arquivos como backups. Eles descartaram as tabelas de usuários do servidor Confluence, escreveram webshells adicionais e alteraram os logs de acesso para evitar a detecção.

A Volexity acredita que os vários operadores de ameaças da China estão utilizando essas explorações.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)