Une faille d’Atlassian Confluence activement exploitée pour installer des crypto-mineurs

0

Les pirates recherchent activement et exploitent une vulnérabilité d’exécution de code à distance d’Atlassian Confluence récemment divulguée pour installer des crypto-mineurs après la publication publique d’un exploit de preuve de concept.

Atlassian Confluence est un espace web de travail d’équipe d’entreprise très populaire qui permet aux employés de collaborer sur des projets.

Le 25 août, Atlassian a publié un avis de sécurité pour une vulnérabilité d’exécution de code à distance de Confluence identifiée comme CVE-2021-26084, permettant à un attaquant non authentifié d’exécuter à distance des commandes sur un serveur vulnérable.

« Il existe une vulnérabilité d’injection OGNL qui permettrait à un utilisateur authentifié, et dans certains cas à un utilisateur non authentifié, d’exécuter du code arbitraire sur une instance Confluence Server ou Data Center », explique l’avis CVE-2021-26084 d’Atlassian.

« Toutes les versions de Confluence Server et Data Center antérieures aux versions corrigées répertoriées ci-dessus sont affectées par cette vulnérabilité. »

Atlassian a publié des correctifs pour les vulnérabilités et recommande aux utilisateurs de passer à la version de support à long terme.

Les serveurs Confluence sont activement exploités

Six jours après la publication de l’avis par Atlassian, les chercheurs ont publié un article technique expliquant la vulnérabilité, et un exploit de preuve de concept a été rendu public.

Cet exploit PHP est très facile à utiliser et, en cas de succès, exécutera une commande sur le serveur ciblé. Par exemple, les attaquants pourraient utiliser ces commandes pour télécharger d’autres logiciels, tels que des webshells, ou lancer un programme sur le serveur exploité.

Peu de temps après la publication de l’article et de la preuve de concept, les entreprises de cybersécurité ont commencé à signaler que les pirates informatiques et les chercheurs en sécurité scannaient et exploitaient activement les serveurs Confluence vulnérables.

Par exemple, le directeur de l’ingénierie de la Coalition, Tiago Henriques, a détecté des testeurs d’intrusion tentant de trouver des serveurs Confluence vulnérables, probablement pour des primes de bogues.

Cependant, la société de renseignement sur la cybersécurité Bad Packets a constaté une activité plus néfaste avec des acteurs malveillants de plusieurs pays exploitant des serveurs pour télécharger et exécuter des scripts shell PowerShell ou Linux.

À partir d’échantillons d’exploits publiés par Bad Packets, il a été confirmé que les pirates informatiques tentent d’installer des crypto-mineurs sur les serveurs Confluence sur Windows et Linux.

Par exemple, un attaquant utilise le script suivant pour installer le mineur de crypto-monnaie XMRig à exploiter pour Monero, comme indiqué ci-dessous.

atlassian confluence powershell
Script PowerShell exécuté par l’exploit Confluence

Un autre exploit actif partagé tente de télécharger le malware Kinsing sur les serveurs Linux également pour installer des coinminers.

Bien que les attaques actuelles soient utilisées à mauvais escient simplement pour exploiter la crypto-monnaie, il n’y a aucune raison pour laquelle les pirates informatiques ne peuvent pas l’utiliser pour des attaques plus avancées, en particulier si le serveur Confluence est hébergé sur site.

Ces attaques peuvent inclure une propagation latérale via un réseau, des attaques de ransomware et l’exfiltration de données.

Si votre organisation utilise un serveur Confluence, il est fortement recommandé d’installer les dernières mises à jour dès que possible.

Laisser un commentaire