Разработчики Atlassian предупредили, что Confluence Server и Data Center подвержены критической уязвимости (CVE-2022-26134), которую несколько хакерских групп уже используют для установки веб-шеллов. Патчей для свежего бага пока нет.
Сообщается, что CVE-2022-26134 представляет собой RCE-уязвимость, для эксплуатации которой не требуется аутентификация. В Atlassian говорят, что уязвимость подтверждена в Confluence Server 7.18.0, а также уязвимы Confluence Server и Data Center 7.4.0 и выше.
Так как работа над патчами еще ведется, разработчики рекомендуют либо ограничить доступ к Confluence Server и Data Center из интернета, либо вовсе временно их отключить.
Об атаках на этот баг рассказали эксперты компании Volexity. Они пишут, что баг был обнаружен в начале текущей недели, 31 мая, и после проведения расследования Volexity смогла воспроизвести эксплоит, который хакеры применяли против последней версии Confluence Server, и передать всю информацию Atlassian.
Во время изученной экспертами атаки, злоумышленники установили в систему жертвы BEHINDER, веб-шелл JSP, который позволяет удаленно выполнять команды на скомпрометированном сервере. После этого хакеры использовали BEHINDER для установки веб-шелла China Chopper и простого инструмента для загрузки файлов.
«BEHINDER предоставляет злоумышленникам мощные возможности, включая веб-шеллы, работающие в памяти, а также встроенную поддержку Meterpreter и Cobalt Strike», — пояснили в Volexity.
По информации исследователей, атакующие похитили таблицы пользователей с сервера Confluence, внедрили дополнительные веб-шеллы и изменили логи, чтобы скрыть следы своего присутствия. Аналитики полагают, что за этими атаками и эксплоитами стоят многочисленные злоумышленники из Китая.
Volexity уже опубликовала список IP-адресов, связанных с атаками, а также правила Yara для выявления активности веб-шеллов на серверах Confluence.
UPD.
Вечером 3 июня 2022 года компания выпустила исправления и теперь рекомендует всем клиентам как можно скорее обновиться до версий 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 и 7.18.1. К тому же сообщается, что новые версии Confluence содержат исправления для ряда других проблем.
