Investigadores de ciberseguridad han descubierto una puerta trasera sigilosa llamada Effluence que se implementa luego de la explotación exitosa de una falla de seguridad recientemente revelada en el servidor y centro de datos Atlassian Confluence.
«El malware actúa como una puerta trasera persistente y no se soluciona aplicando parches a Confluence», dijo Stroz Friedberg Incident Response Services de Aon en un análisis publicado a principios de esta semana.
«La puerta trasera proporciona capacidad de movimiento lateral a otros recursos de la red, además de la filtración de datos de Confluence. Es importante destacar que los atacantes pueden acceder a la puerta trasera de forma remota sin autenticarse en Confluence».
La cadena de ataque documentada por la entidad de ciberseguridad implicó la explotación de CVE-2023-22515 (puntaje CVSS: 10.0), un error crítico en Atlassian que podría aprovecharse para crear cuentas de administrador de Confluence no autorizadas y acceder a servidores de Confluence.
Desde entonces, Atlassian ha revelado una segunda falla conocida como CVE-2023-22518 (puntaje CVSS: 10.0) que un atacante también puede aprovechar para configurar una cuenta de administrador fraudulenta, lo que resulta en una pérdida total de confidencialidad, integridad y disponibilidad.
Lo que hace que el último ataque se destaque es que el adversario obtuvo acceso inicial a través de CVE-2023-22515 e incorporó un novedoso shell web que otorga acceso remoto persistente a cada página web del servidor, incluida la página de inicio de sesión no autenticada, sin necesidad de un cuenta de usuario válida.
El web shell, compuesto por un cargador y una carga útil, es pasivo, lo que permite que las solicitudes pasen desapercibidas hasta que se proporciona una solicitud que coincide con un parámetro específico, momento en el que desencadena su comportamiento malicioso al ejecutar una serie de acciones.
Esto comprende crear una nueva cuenta de administrador, depurar registros para cubrir el rastro forense, ejecutar comandos arbitrarios en el servidor subyacente, enumerar, leer y eliminar archivos, y compilar información extensa sobre el entorno Atlassian.
El componente del cargador, según Aon, actúa como un complemento normal de Confluence y es responsable de descifrar y ejecutar la carga útil.
«Varias de las funciones del shell web dependen de API específicas de Confluence», dijo el investigador de seguridad Zachary Reichert.
«Sin embargo, el complemento y el mecanismo de carga parecen depender sólo de las API comunes de Atlassian y son potencialmente aplicables a JIRA, Bitbucket u otros productos de Atlassian donde un atacante puede instalar el complemento».
Fuente y redacción: thehackernews.com
