Atlassian Confluence Sunucularının Yamasına Rağmen 'Akış' Arka Kapısı Devam Ediyor - Dünyadan Güncel Teknoloji Haberleri

Atlassian Confluence Sunucularının Yamasına Rağmen 'Akış' Arka Kapısı Devam Ediyor - Dünyadan Güncel Teknoloji Haberleri
atık Atlassian Confluence Veri Merkezi ve Sunucusunda yakın zamanda açıklanan bir güvenlik açığının başarıyla kullanılmasının ardından devreye alınan bu sistem

“Arka kapı, Confluence’tan veri sızmasına ek olarak diğer ağ kaynaklarına yanal hareket olanağı sağlıyor


10 Kasım 2023Haber odasıSiber Saldırı / Tehdit İstihbaratı

Siber güvenlik araştırmacıları, adı verilen gizli bir arka kapı keşfettiler ” söz konusu Bu hafta başlarında yayınlanan bir analizde

Aon’a göre yükleyici bileşeni normal bir Confluence eklentisi gibi davranır ve yükün şifresinin çözülmesinden ve başlatılmasından sorumludur geçerli kullanıcı hesabı

Atlassian, o zamandan beri CVE-2023-22518 (CVSS puanı: 10 Daha da önemlisi, saldırganlar Confluence’da kimlik doğrulaması yapmadan arka kapıya uzaktan erişebilir

Bu, yeni bir yönetici hesabı oluşturmayı, adli takibi kapatmak için günlükleri temizlemeyi, temeldeki sunucuda rastgele komutlar çalıştırmayı, dosyaları numaralandırmayı, okumayı ve silmeyi ve Atlassian ortamı hakkında kapsamlı bilgiler derlemeyi içerir ”

Siber güvenlik kuruluşu tarafından belgelenen saldırı zinciri, Atlassian’da yetkisiz Confluence yönetici hesapları oluşturmak ve Confluence sunucularına erişmek için kötüye kullanılabilecek kritik bir hata olan CVE-2023-22515’in (CVSS puanı: 10,0) istismar edilmesini gerektiriyordu 0) olarak bilinen ve bir saldırganın hileli bir yönetici hesabı oluşturmak için yararlanabileceği ve gizliliğin, bütünlüğün ve kullanılabilirliğin tamamen kaybolmasıyla sonuçlanan ikinci bir kusuru açıkladı

En son saldırıyı öne çıkaran şey, saldırganın CVE-2023-22515 aracılığıyla ilk erişimi elde etmesi ve kimlik doğrulaması yapılmamış oturum açma sayfası da dahil olmak üzere sunucudaki her web sayfasına, herhangi bir kimlik doğrulama işlemine ihtiyaç duymadan kalıcı uzaktan erişim sağlayan yeni bir web kabuğu yerleştirmesidir

“Ancak eklenti ve yükleyici mekanizması yalnızca ortak Atlassian API’lerine bağlı görünüyor ve bir saldırganın eklentiyi yükleyebileceği JIRA, Bitbucket veya diğer Atlassian ürünlerine potansiyel olarak uygulanabilir

Güvenlik araştırmacısı Zachary Reichert, “Web kabuğu işlevlerinin birçoğu Confluence’a özgü API’lere bağlı” dedi

Aon’un Stroz Friedberg Olay Müdahale Hizmetleri, “Kötü amaçlı yazılım kalıcı bir arka kapı görevi görüyor ve Confluence’a yama uygulanarak düzeltilmiyor ”



siber-2

Bir yükleyici ve veri yükünden oluşan web kabuğu pasiftir ve belirli bir parametreyle eşleşen bir istek sağlanana kadar isteklerin fark edilmeden içinden geçmesine izin verir; bu noktada bir dizi eylem gerçekleştirerek kötü amaçlı davranışını tetikler