Technology

Tidak ada tambalan untuk Atlassian Confluence zero-day yang dieksploitasi secara aktif – Keamanan

Semua versi sistem Wiki perusahaan Atlassian, Confluence, dipengaruhi oleh bug serius di bawah eksploitasi aktif, mungkin oleh aktor ancaman China.

Atlassian telah mengkonfirmasi kerentanan kritis di Server dan Pusat Data Confluence, dan perusahaan mengatakan saat ini tidak ada perbaikan tetapi sedang mengerjakan tambalan.

Administrator tidak boleh mengekspos Confluence ke Internet, dan menonaktifkan Wiki perusahaan, sebagai opsi untuk menjaga keamanan mereka sendiri.

Vendor keamanan Volexity melaporkan masalah tersebut ke Atlassian pada tanggal 31 Mei waktu Amerika Serikat, dan kerentanan tersebut telah diberi indeks Common Vulnerabilities and Exposures (CVE) dari CVE-2022-26134.

Volexity mengatakan telah melakukan penyelidikan respons insiden pada dua server Confluence pelanggan dan menemukan aktivitas mencurigakan pada mereka.

Penyerang telah menulis versi web shell Java Server Pages (JSP) “China Chopper” ke disk, dan Volexity menentukan kerentanan dieksploitasi untuk eksekusi kode jarak jauh di server.

China Chopper mungkin dibiarkan memberikan akses sekunder ke server yang disusupi, menurut Volexity.

Sampel memori yang diambil oleh Volexity menunjukkan shell baris perintah Bash berjalan sebagai pengguna super root dengan akses sistem penuh, diluncurkan oleh proses aplikasi web Confluence.

Implan hanya dalam memori, BEHINDER, segera digunakan oleh penyerang, memberi mereka kemampuan yang kuat seperti menjalankan muatan serangan Meterpreter dari Metasploit, dan alat akses jarak jauh Cobalt Strike.

Semua proses yang dilakukan oleh penyerang, termasuk proses turunan yang dibuat oleh eksploitasi, dijalankan sebagai pengguna super root, yang berarti mereka memiliki akses penuh ke sistem yang disusupi.

Volexity menggemakan saran Atlassian bahwa pelanggan tidak boleh mengekspos server Confluence ke Internet, dan menambahkan bahwa mereka juga tidak boleh berjalan dengan hak akses root.

Confluence selama beberapa tahun terakhir telah ditargetkan oleh penyerang yang mengeksploitasi beberapa kerentanan kritis.

Pada bulan September tahun lalu, pusat keamanan dunia maya Australia ACSC memperingatkan tentang injeksi kode dan kerentanan eksekusi jarak jauh, tanpa otentikasi yang diperlukan, menyarankan pengguna untuk segera menambal untuk menghindari eksploitasi.

Posted By : pengeluaran hk hari ini 2021