Компания Volexity обнаружила уязвимость удаленного выполнения кода CVE-2022-26134 , которая затрагивает продукты Atlassian Confluence Server и Data Center и активно эксплуатируется злоумышленниками.
«В настоящее время нет доступных исправленных версий Confluence Server и Data Center. Atlassian работает с наивысшим приоритетом, чтобы выпустить исправление», — заявили в Atlassian.
Подробности уязвимости в системе безопасности не разглашаются до тех пор, пока не будет выпущено исправление для ПО. Известно, что Confluence Server и Data Center версии 7.4.0 и более поздние потенциально уязвимы. Atlassian призвал клиентов ограничить использование экземпляров Confluence Server и Data Center из Интернета или рассмотреть возможность полного отключения экземпляров.
Злоумышленник мог использовать эксплойт нулевого дня Atlassian для удаленного выполнения кода без проверки подлинности на сервере, чтобы сбросить веб-оболочку Behinder .
«Behinder предоставляет злоумышленнику очень мощные возможности, включая веб-оболочку и встроенную поддержку Meterpreter и Cobalt Strike. Behinder не допускает сохранения, а это означает, что перезагрузка или перезапуск службы уничтожат оболочку», — сказали исследователи.
Впоследствии веб-оболочка использовалась для развертывания двух дополнительных оболочек на диске и пользовательскую оболочку загрузки файлов для эксфильтрации произвольных данных на удаленный сервер.
«С помощью уязвимости злоумышленник может получить прямой доступ к высокочувствительным системам и сетям. Кроме того, эти системы часто бывает трудно исследовать, поскольку в них отсутствуют соответствующие возможности мониторинга или регистрации», — сказали специалисты
из Volexity.
Источник: SecurityLab