Пользователи Atlassian под угрозой

Компания Volexity обнаружила уязвимость удаленного выполнения кода CVE-2022-26134 , которая затрагивает продукты Atlassian Confluence Server и Data Center и активно эксплуатируется злоумышленниками.

«В настоящее время нет доступных исправленных версий Confluence Server и Data Center. Atlassian работает с наивысшим приоритетом, чтобы выпустить исправление», — заявили в Atlassian.

Подробности уязвимости в системе безопасности не разглашаются до тех пор, пока не будет выпущено исправление для ПО. Известно, что Confluence Server и Data Center версии 7.4.0 и более поздние потенциально уязвимы. Atlassian призвал клиентов ограничить использование экземпляров Confluence Server и Data Center из Интернета или рассмотреть возможность полного отключения экземпляров.

Злоумышленник мог использовать эксплойт нулевого дня Atlassian для удаленного выполнения кода без проверки подлинности на сервере, чтобы сбросить веб-оболочку Behinder .

«Behinder предоставляет злоумышленнику очень мощные возможности, включая веб-оболочку и встроенную поддержку Meterpreter и Cobalt Strike. Behinder не допускает сохранения, а это означает, что перезагрузка или перезапуск службы уничтожат оболочку», — сказали исследователи.

Впоследствии веб-оболочка использовалась для развертывания двух дополнительных оболочек на диске и пользовательскую оболочку загрузки файлов для эксфильтрации произвольных данных на удаленный сервер.

«С помощью уязвимости злоумышленник может получить прямой доступ к высокочувствительным системам и сетям. Кроме того, эти системы часто бывает трудно исследовать, поскольку в них отсутствуют соответствующие возможности мониторинга или регистрации», — сказали специалисты
из Volexity.

Источник: SecurityLab