in

Error de Atlassian Confluence RCE abusado en múltiples campañas de ciberataques


Confluencia de Atlassian

Se ha descubierto que los actores de amenazas oportunistas están explotando activamente una vulnerabilidad crítica recientemente revelada en las implementaciones de Atlassian Confluence en Windows y Linux para implementar shells web que provocan que los cripto-mineros se ejecuten en sistemas comprometidos.

Seguimiento como CVE-2021-26084 (Puntuación CVSS: 9,8), la vulnerabilidad se refiere a un error de inyección OGNL (lenguaje de navegación de gráfico de objetos), que podría explotarse para hacer que se ejecute código arbitrario en un servidor Confluence o en una instancia de centro de datos.

«Un atacante remoto puede aprovechar esta vulnerabilidad enviando una solicitud HTTP diseñada con un parámetro malicioso a un servidor vulnerable», señalaron los investigadores de Trend Micro en un informe técnico que detalla la vulnerabilidad. «La explotación exitosa puede llevar a la ejecución de código arbitrario en el contexto de seguridad del servidor afectado».

Copias de seguridad automáticas de GitHub

La vulnerabilidad, que se encuentra en el módulo Atlassian Confluence Server and Data Center Webwork, es el resultado de una validación insuficiente de la entrada proporcionada por el usuario, lo que lleva al analizador a interpretar comandos fraudulentos insertados en las expresiones OGNL.

Los ataques en la naturaleza se produjeron después de que el Comando Cibernético de EE. UU. Advirtiera contra los intentos de explotación masiva después de que se publicara la vulnerabilidad a fines de agosto de este año.

Confluencia de Atlassian

En un ataque observado por Trend Micro, z0Miner, un troyano y criptojacker, se actualizó para aprovechar el error de ejecución remota de código (RCE) para distribuir cargas útiles de siguiente nivel que actúan como un canal de persistencia y un software de minería de criptomonedas en la máquina. Imperva confirmó los resultados en un análisis independiente y descubrió intentos de intrusión similares destinados a ejecutar el minero de criptomonedas XMRig y otros scripts posteriores a la explotación.

Prevenir filtraciones de datos

Von Imperva, Juniper y Lacework también descubrieron actividad de explotación de Muhstik, una botnet afiliada a China conocida por su capacidad de autopropagación similar a un gusano para infectar servidores Linux y dispositivos IoT desde al menos 2018.

Confluencia de Atlassian

Además, el equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks dijo que identificó y evitó ataques que fueron orquestados para cargar los archivos de contraseñas de sus clientes, así como para descargar scripts infundidos de malware que dejaron caer un minero e incluso uno interactivo que Reverse Shell abrió en el computadora.

«Como suele ocurrir con las vulnerabilidades de RCE, los atacantes se apresurarán y utilizarán los sistemas afectados para su propio beneficio», dijeron los investigadores de Imperva. «Las vulnerabilidades de RCE pueden permitir que los actores de amenazas exploten los sistemas afectados para obtener una ganancia de efectivo fácil instalando mineros de criptomonedas y enmascarando sus actividades, abusando así de los recursos de procesamiento del objetivo».



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

75.000 bandejas de entrada de correo electrónico impactadas en una nueva campaña de phishing de credenciales

¿Cuánto valen sus datos personales en la web oscura?