Эксперты Positive Technologies выявили попытки массовой эксплуатации критической уязвимости в Confluence

^[1]

Изображение: Knownsec 404 Team ^[2]

Исследователи информационной безопасности из Knownsec 404 Team изучили патч для обнаруженной в марте уязвимости в Confluence и опубликовали ^[2] код для её эксплуатации. Использование этой ошибки безопасности позволяет злоумышленникам получить возможность выполнения любых команд на сервере Confluence и загрузки вредоносного ПО.

Вскоре после публикации эксплоита к уязвимости, эксперты PT ESC обнаружили массовые попытке ее эксплуатации. Рассказываем, в чем проблема и как защититься.

В чем проблема

Уязвимость CVE-2019-3396 возникла из-за ошибки в коде модуля Widget Connector в Confluence Server. С её помощью злоумышленник может заставить уязвимый Confluence загрузить вредоносный шаблон со своего сервера и исполнить любые команды. Атака не требует авторизации на сервере.

В опубликованном разработчиками Confluence из компании Atlassian бюллетене безопасности ^[3], уязвимость описана так:

Атакующий может эксплуатировать уязвимость для осуществления инъекций шаблонов на стороне сервиса, обхода пути и удаленного исполнения кода на системах с уязвимыми Confluence Server и Data Server.

Помимо этого, исследователи из Assetnote и DEVCORE обнаружили уязвимость CVE-2019-3395 в плагине WebDAV. Она позволяет производить подделку запросов на стороне сервера (Server Side Request Forgery, SSRF). Хакеры могут отправлять случайные HTTP и WebDAV-запросы с уязвимых экземпляров Confluence Server и Data Server.

Уязвимые версии ПО:

Все версии 1.x.x, 2.x.x, 3.x.x, 4.x.x и 5.x.x
Все версии 6.0.x, 6.1.x, 6.2.x, 6.3.x, 6.4.x, и 6.5.x
Все версии 6.6.x до 6.6.12
Все версии 6.7.x, 6.8.x, 6.9.x, 6.10.x и 6.11.x
Все версии 6.12.x до 6.12.3
Все версии 6.13.x до 6.13.3
Все версии 6.14.x до 6.14.2

Ошибка исправлена:

В версии 6.6.12 и более поздних версиях 6.6.x
В версии 6.12.3 и более поздних версиях 6.12.x
В версии 6.13.3 и более поздних версиях 6.13.x
В версии 6.14.2 и выше.

Эксплуатация

Детали уязвимости были опубликованы 10 апреля, а уже на следующий день эксперты Positive Technologies ESC обнаружили массовое сканирование портов 8090 в интернете – это стандартный порт для сервера Confluence.

Обнаружить попытки атаки просто: она всегда будет сопровождаться входящими POST-запросами на URL /rest/tinymce/1/macro/preview и, в случае взлома сервера, исходящими запросами на FTP-сервер злоумышленника на загрузку файла с расширением .vm. По данным поискового сервиса ZoomEye, в интернете доступно по меньшей мере 60,000 серверов Confluence.

Кроме того, эксперты стали свидетелями заражения серверов Confluence вредоносным ПО Linux Spike Trojan, ранее известного как MrBlack. Он представляет собой ELF-файл и главным образом предназначен для проведения DDoS-атак.

При попадании в систему вредонос закрепляется с помощью файла rc.local и стартует при каждом запуске зараженного компьютера. После запуска, в отдельном потоке и в бесконечном цикле, он собирает информацию о системе и отправляет на контролируемый атакующими C2 сервер. Среди собираемых данных информация о процессоре, сетевых интерфейсах и запущенных процессах. После этого в отдельном потоке запускается бесконечный цикл, в котором он отправляет на сервер строку “VERSONEX:1|1|1|1|1|Hacker”, а в ответ ждет команду.

Команды которые может выполнить вредонос:

выполнить команду через shell
начать DDOS
завершить работу

Команда для DDOS содержит в себе зашифрованные AES адреса серверов, на которые необходимо начать атаку. Вредонос расшифровывает с помощью вшитого ключа.

Доступные варианты DDOS атаки:

SYN flood
LSYN flood
UDP flood
UDPS flood
TCP flood
CC flood

Как защититься

Уязвимость CVE-2019-3396 была исправлена 20 марта 2019 года. На сайте Atlassian доступен бюллетень безопасности ^[3] с её описанием и списком версий с исправлением. Для исправления уязвимости пользователям необходимо обновить систему до версий, включенных в патч.

Также, для обнаружения попыток эксплуатации уязвимости CVE-2019-3396 и активности Linux Spike мы разработали правила для Suricata IDS:

Wow! Critical #confluence ^[4] CVE-2019-3396 is being exploited in the wild from 89.35.39.78 since yesterday. We have seen Dofloo DDOS botnet infection with this vuln. С2 at 23.224.59.34.
Use our #Suricata ^[5] rules for the detection:https://t.co/7ZwJqcvL4y ^[6]https://t.co/Wycb7vonWa ^[7]

— Attack Detection (@AttackDetection) April 12, 2019 ^[8]

Автор: ptsecurity

Источник ^[9]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/314365

Ссылки в тексте:

[1] Image: https://habr.com/ru/company/pt/blog/447904/

[2] Knownsec 404 Team: https://paper.seebug.org/886/

[3] бюллетене безопасности: https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html

[4] #confluence: https://twitter.com/hashtag/confluence?src=hash&ref_src=twsrc%5Etfw

[5] #Suricata: https://twitter.com/hashtag/Suricata?src=hash&ref_src=twsrc%5Etfw

[6] https://t.co/7ZwJqcvL4y: https://t.co/7ZwJqcvL4y

[7] https://t.co/Wycb7vonWa: https://t.co/Wycb7vonWa

[8] April 12, 2019: https://twitter.com/AttackDetection/status/1116726740250955776?ref_src=twsrc%5Etfw

[9] Источник: https://habr.com/ru/post/447904/?utm_campaign=447904

Нажмите здесь для печати.