Peretas Mengeksploitasi Kerentanan Zero-Day Pertemuan Atlassian Kritis yang Belum Ditambal

  • Bagikan
Atlassian Confluence Zero-Day Vulnerability

Beritaini.top Peretas Mengeksploitasi Kerentanan Zero-Day Pertemuan Atlassian Kritis yang Belum Ditambal

Kerentanan Zero-Day Pertemuan Atlassian

Atlassian telah memperingatkan kerentanan eksekusi kode jarak jauh yang belum ditambal yang berdampak pada produk Confluence Server dan Pusat Data yang katanya sedang dieksploitasi secara aktif di alam liar.

Perusahaan perangkat lunak Australia memuji perusahaan keamanan siber Volexity karena mengidentifikasi kelemahannya, yang dilacak sebagai CVE-2022-26134.

“Atlassian telah diberitahu tentang eksploitasi aktif saat ini dari kerentanan eksekusi kode jarak jauh yang tidak diautentikasi tingkat keparahan kritis di Pusat Data dan Server Confluence,” itu dikatakan dalam sebuah nasehat.

“Saat ini tidak ada versi tetap dari Server dan Pusat Data Confluence yang tersedia. Atlassian bekerja dengan prioritas tertinggi untuk mengeluarkan perbaikan.” Spesifik dari kelemahan keamanan telah ditahan sampai patch perangkat lunak tersedia.

Keamanan cyber

Semua versi Confluence Server dan Pusat Data yang didukung terpengaruh, meskipun diharapkan semua versi solusi perusahaan berpotensi rentan. Versi paling awal yang terkena dampak belum dipastikan.

Dengan tidak adanya perbaikan, Atlassian mendesak pelanggan untuk membatasi instance Confluence Server dan Data Center dari internet atau mempertimbangkan untuk menonaktifkan instance sama sekali. Sebagai alternatif, direkomendasikan untuk menerapkan aturan firewall aplikasi web (WAF) yang memblokir URL yang berisi “${” untuk mengurangi risiko.

Volexity, dalam pengungkapan independen, mengatakan pihaknya mendeteksi aktivitas selama akhir pekan Memorial Day di AS sebagai bagian dari penyelidikan respons insiden.

Rantai serangan melibatkan pemanfaatan eksploitasi zero-day Atlassian — kerentanan injeksi perintah — untuk mencapai eksekusi kode jarak jauh yang tidak diautentikasi di server, memungkinkan aktor ancaman menggunakan pijakan untuk menjatuhkan shell web Behinder.

belakang memberikan kemampuan yang sangat kuat untuk penyerang, termasuk webshells memori-saja dan dukungan built-in untuk interaksi dengan Meterpreter dan Cobalt Strike,” para peneliti dikatakan. “Pada saat yang sama, itu tidak memungkinkan kegigihan, yang berarti reboot atau restart layanan akan menghapusnya.”

Keamanan cyber

Selanjutnya, web shell dikatakan telah digunakan sebagai saluran untuk menyebarkan dua web shell tambahan ke disk, termasuk: Helikopter Cina dan shell unggah file khusus untuk mengekstrak file arbitrer ke server jauh.

Perkembangan ini terjadi kurang dari setahun setelah kelemahan eksekusi kode jarak jauh kritis lainnya di Atlassian Confluence (CVE-2021-26084, skor CVSS: 9,8) secara aktif dipersenjatai di alam liar untuk menginstal penambang cryptocurrency di server yang disusupi.

“Dengan memanfaatkan kerentanan semacam ini, penyerang dapat memperoleh akses langsung ke sistem dan jaringan yang sangat sensitif,” kata Volexity. “Lebih jauh, sistem ini seringkali sulit untuk diselidiki, karena tidak memiliki kemampuan pemantauan atau pencatatan yang tepat.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.