Stop De Bandieten #25 Kritische kwetsbaarheid in Confluence

Dit is de 25e editie van onze nieuwsbrief.

Vanwege de positieve reacties verzamelen we die ook in onze online blog.

Aarzel niet om dit te delen met collega's en vrienden.
Iedereen kan gratis inschrijven op onze website stopdebandieten.be!

Er is een nieuwe backdoor genaamd "Effluence" ontdekt die na succesvolle exploit van een recent ontdekt beveiligingslek in Atlassian Confluence Data Center en Server wordt geïnstalleerd op on-premise servers.

"In tegenstelling tot wat je zou verwachten, kan de malware niet worden verwijderd door patches toe te passen op Confluence," volgens de analyse van het Incident Response Services van Aon, die dit eerder vorige week heeft gepubliceerd.

"De backdoor biedt de mogelijkheid om binnen het netwerk naar andere systemen te connecteren, naast het stelen van gegevens uit Confluence. Belangrijk is dat aanvallers op afstand toegang kunnen krijgen tot de achterdeur zonder zich bij Confluence te hoeven aanmelden." zei het Aon’s Stroz Friedberg Incident Response Services.

De attack chain die is gedocumenteerd door deze cybersecurity-experts omvat het misbruiken van CVE-2023-22515 (CVSS-score: 10.0), een kritieke bug in Atlassian Confluence die kon worden gebruikt om ongeautoriseerde beheerdersaccounts voor Confluence aan te maken en toegang te krijgen tot Confluence-servers.

Atlassian heeft sindsdien een tweede vulnerability onthuld, bekend als CVE-2023-22518 (CVSS-score: 10.0), waar een aanvaller ook gebruik kan maken van fake admin accounts.

Wat deze laatste attack opmerkelijk maakt, is dat de aanvaller initiële toegang kreeg via CVE-2023-22515 en een nieuwe webshell installeerde die blijvende externe toegang biedt tot elke webpagina op de server, inclusief de aanmeldingspagina zonder authenticatie.

Deze webshell, is passief en laat verzoeken onopgemerkt voorbijgaan totdat een verzoek met een specifieke parameter wordt ingediend, waarna de malware wordt geactiveerd door een reeks acties uit te voeren.

Deze acties omvat het aanmaken van een nieuw beheerdersaccount, het wissen van logs om sporen te verbergen, het uitvoeren van willekeurige commando's op de onderliggende server, het bekijken, lezen en verwijderen van bestanden, en het verzamelen van uitgebreide informatie over de Atlassian-omgeving.

Is mijn Confluence-instantie getroffen?

Openbaar toegankelijke Confluence Data Center- en Serverversies zoals hieronder vermeld, lopen een kritiek risico en vereisen onmiddellijke aandacht.
Wij adviseren dan ook de versie van deze software zo snel mogelijk bij te werken.

Active scanning door threat actors

Onze partner Greynoise ziet de laatste dagen verhoogde activiteit op hun honeynet van scans van verschillende threat actors, voornamelijk gericht op Oekraïne.

Moest u hierover verder vragen hebben gelieve ons te contacteren op [email protected].

Vriendelijke groeten,

Het Shift Left Security Team