هکرها آسیب‌پذیری روز صفر وصله نشده Atlassian Critical Confluence را اکسپلویت می‌کنند

دسته بندی ها : آسیب پذیری, اخبار ۱۶ خرداد ۱۴۰۱ آپا دانشگاه تبریز 54 بازدید
Atlassian Critical Confluence

Atlassian درباره یک آسیب‌پذیری حیاتی اجرای کد از راه دور هشدار داده است که بر محصولات Confluence Server and Data Center تأثیر می‌گذارد. این آسیب پذیری هنوز وصله نشده و به طورگسترده درحال اکسپلویت شدن است.

به گفته شرکت نرم ‌افزار استرالیایی، شرکت امنیت سایبری Volexity این نقص را که با نام CVE-2022-26134 شناخته می‌شود، شناسایی کرده است.
Atlassian در توصیه نامه ای گفت:” Atlassian از اکسپلویت شدن فعال آسیب پذیری اجرای کد از راه دور تایید نشده با شدت بحرانی در Confluence Server and Data Center باخبر شده است.”
“در حال حاضر هیچ نسخه اصلاح شده ای از Confluence Server and Data Center در دسترس نیست. Atlassian انتشار اصلاحیه را در اولویت خود قرار داده است.” مشخصات نقص امنیتی تا زمانی که یک وصله نرم افزاری در دسترس نباشد، پنهان خواهد ماند.

همه نسخه‌های پشتیبانی‌شده Confluence Server and Data Center تحت تأثیر این نقص قرار می‌گیرند.اگرچه انتظار می‌رود همه نسخه‌های راه‌حل سازمانی آسیب‌پذیر باشند اما اولین نسخه آسیب دیده هنوز مشخص نشده است.

درحال حاضر که اصلاحیه وجود ندارد، Atlassian از مشتریان می‌خواهد که نمونه‌های Confluence Server and Data را از اینترنت محدود کنند یا به طور کلی این نمونه‌ها را غیرفعال کنند. روش دیگر، استفاده از فایروال وب اپلیکیشن (WAF) است که برای کاهش خطر، URL های حاوی “${” را مسدود می کند.
Volexity در یک توصیه نامه مستقل گفت که این فعالیت را در آخر هفته روز یادبود در ایالات متحده به عنوان بخشی از تحقیقات واکنش به حادثه شناسایی کرده است.
در این زنجیره حمله، بااستفاده از اکسپلویت روز صفر Atlassian – آسیب‌پذیری command injection – در سرور، از راه دور کد تایید نشده اجرا می کنند. اینگونه حمله کننده می تواند به کمک یک پایگاه ، وب شل Behinder را از بین ببرد.

محققان می‌گویند: “Behinder قابلیت‌های بسیار قدرتمندی را در اختیار مهاجمان قرار می‌دهد، از جمله وب شل های مبتنی بر حافظه و پشتیبانی داخلی برای تعامل با Meterpreter و Cobalt Strike. در عین حال با راه اندازی مجدد وب شل یا سرویس، حافظه آن پاک می شود.”

متعاقباً، گفته می‌شود که وب شل به عنوان مجرایی برای استقرار دو وب شل اضافی روی دیسک، از جمله China Chopper و یک شل آپلود فایل سفارشی برای استخراج فایل‌های دلخواه یک سرور از راه دور استفاده شده است.

این پیشرفت کمتر از یک سال پس از نقص حیاتی دیگر اجرای کد از راه دور در Atlassian Confluence حاصل گشت. (CVE-2021-26084، امتیاز CVSS: 9.8) به طور فعال و گسترده برای نصب ماینرهای ارز دیجیتال روی سرورهای در معرض خطر استفاده می شد.

Volexity گفت: “با اکسپلویت این نوع آسیب پذیری، مهاجمان می توانند به سیستم ها و شبکه های بسیار حساس دسترسی داشته باشند.” علاوه بر این، بررسی این سیستم‌ها اغلب دشوار است، زیرا فاقد قابلیت‌ نظارت یا ثبت گزارش مناسب هستند.

 

اخبار آسیب‌پذی‌ها را از وبسایت آپا بخش آسیب‌پذیری‌ها دنبال کنید.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :