Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Серверы Confluence под угрозой от бэкдора Effluence

13/11/23

backdoor-Nov-13-2023-09-40-31-5067-AM

Специалисты в области кибербезопасности из подразделения Stroz Friedberg компании Aon выявили новую угрозу под названием Effluence, представляющую из себя бэкдор, работоспособность которого возможна благодаря недавно обнаруженным уязвимостям в системе Atlassian Confluence Data Center и Server.

Исследователи опубликовали подробный анализ, согласно которому вредоносный код Effluence действует как перманентный бэкдор и не устраняется даже после установки патчей для Confluence.

Effluence обеспечивает возможность перемещения по сети и извлечения данных из Confluence. Злоумышленники могут получить доступ к бэкдору удалённо, причём без необходимости проходить аутентификацию в целевой системе, предупреждает Securitylab.

Исследователи подробно описали цепочку атаки, начавшуюся с использования уязвимости CVE-2023-22515 в Atlassian. Этот критический недостаток, впервые раскрытый в начале октября , позволяет создавать неавторизованные учётные записи администратора Confluence и получать доступ к серверам.

Вскоре после этого в Atlassian была обнаружена и вторая уязвимость, CVE-2023-22518 , также позволяющая злоумышленникам создавать поддельные аккаунты администратора, что потенциально может привести к полной потере конфиденциальности и легкодоступности данных.

В рамках последней атаки, рассмотренной в Stroz Friedberg, злоумышленники получили первоначальный доступ через CVE-2023-22515, после чего внедрили новую веб-оболочку, обеспечивающую постоянный удалённый доступ ко всем веб-страницам сервера, включая страницу входа без аутентификации.

Веб-оболочка, состоящая из загрузчика и полезной нагрузки, является пассивной, позволяя запросам проходить через неё незамеченными до тех пор, пока не будет предоставлен запрос, соответствующий определённому параметру.

После этого запускаются вредоносные действия, включающие создание нового административного аккаунта, выполнение произвольных команд на сервере, перечисление, чтение и удаление файлов, сбор обширной информации о среде Atlassian, а также стирание логов для сокрытия следов активности.

По данным Stroz Friedberg, вышеописанный загрузчик действует как обычный плагин Confluence и отвечает за расшифровку и запуск полезной нагрузки. Хотя некоторые функции веб-оболочки зависят конкретно от API Confluence, механизм загрузчика и плагина, по-видимому, основан на общих API Atlassian и потенциально применим к JIRA, Bitbucket и другим продуктам Atlassian, где злоумышленник сможет установить плагин.

Темы:УгрозыбэкдорыConfluenceAon
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...