Pesquisadores da Trend Micro publicaram um relatório sobre a exploração da vulnerabilidade CVE-2023-22527 em servidores Atlassian, que tem resultado em instalação do backdoor Godzilla. Essa falha, encontrada no Confluence Data Center e no Confluence Server, possui uma pontuação CVSS de 10.0, o que a classifica como extremamente crítica. A vulnerabilidade permite que invasores executem código arbitrário em servidores vulneráveis, podendo comprometer todo o sistema.
Leia também
Ataques sobem 70% no Brasil no 2T 2024
Falha crítica em firewall é porta de entrada para criminosos
Os ataques começam com a exploração da vulnerabilidade, que permite a execução de códigos maliciosos pelos invasores. Em seguida, um programa malicioso é carregado no servidor Atlassian, baixando a seguir o web shell Godzilla, criado por um desenvolvedor chinês conhecido como “BeichenDream”. Esse web shell se destaca por usar criptografia AES, o que dificulta sua detecção por ferramentas de segurança tradicionais.
Uma característica notável desse ataque é o uso de técnicas de malware fileless, nas quais o código malicioso opera diretamente na memória RAM, tornando sua detecção e remoção especialmente desafiadoras. Essa técnica pode facilmente escapar das soluções de segurança convencionais, especialmente aquelas baseadas em assinaturas de antivírus.
A Trend Micro alerta para a necessidade de aplicação imediata dos patches disponíveis para os usuários do Atlassian Confluence. Além das atualizações regulares, é essencial o uso de ferramentas de segurança modernas que possam detectar e prevenir esses ataques sofisticados.
O web shell Godzilla já foi utilizado em outros ataques anteriormente, como na exploração de uma vulnerabilidade no Apache ActiveMQ. Nessas ocasiões, ele permitiu controle total sobre o host de destino, facilitando a execução de comandos, visualização de informações de rede e operações de gerenciamento de arquivos.
