Threat Spotlight : Tentatives d’exploitation d’Atlassian Confluence zero day
Le2 juin 2022, Volexity a révélé l'existence, de manière coordonnée, d'une vulnérabilité zero-day de Confluence d'Atlassian, qui était déjà exploitée. Elle a été nommée CVE-2022-26134. Depuis la révélation et la publication ultérieure de plusieurs démonstrations de faisabilité, les chercheurs de Barracuda ont analysé les données de nos sites dans le monde entier et découvert un grand nombre de tentatives d'exploitation de cette vulnérabilité. Les tentatives vont de la reconnaissance bénigne à des tentatives relativement plus complexes d'infecter les systèmes par des malwares DDoS botnet et du cryptominage.
Les chercheurs Barracuda ont observé un flux constant d'attaques, avec quelques pics, notamment celui du 13 juin. Nous nous attendons à ce que ce genre d'attaques se poursuive et que leur volume se maintienne à l'avenir.
Menaces particulièrement importantes
Vulnérabilité Atlassian Confluence zero dayAtlassian Confluence est un outil de documentation collaborative. Le auto juin, des informations sur ce qui est maintenant connu sous le nom de CVE -2022-26134 ont été rendues publiques. Le week-end suivant, divers pirates ont exploité la vulnérabilité dans des attaques, et, en un rien de temps, des acteurs malicieux en ont pris connaissance.
Cette vulnérabilité permet à des pirates non identifiés et à distance de créer de nouveaux comptes administratifs, d'exécuter des commandes à accès restreint et de contrôler les serveurs.
Les tentatives d'exploitation provenaient principalement d'adresses IP localisées en Russie, suivies d'adresses IP provenant des États-Unis, d'Inde, des Pays-Bas et d'Allemagne. Comme nous l'avons vu dans des études précédentes, les attaques lancées à partir d'adresses IP situées aux États-Unis proviennent principalement de fournisseurs cloud. De même, en Allemagne, la plupart des attaques provenaient de fournisseurs d'hébergement.
Exemples de charges utiles
Commençons par examiner les charges utiles les plus « bénignes » que nous avons détectées.
Exemple 1 :
Exemple 2 :
Qui se traduit par :
Exemple 3 :
Passons aux shells web, l'exemple ci-dessous est une tentative cherchant à injecter un shell web, que nous avons constatée dans nos échantillons.
Ce shell web est une copie quasi conforme d'un exemple de shell web tiré du livre « The Art of Network Penetration Testing », de Royce Davis.
L'exemple suivant est l'une des tentatives de nuire les plus destructrices.
Les charges utiles qui installent le malware Mirai
Nous avons également vu un certain nombre de tentatives d'infecter les serveurs de Confluence avec des malwares. Les acteurs malveillants recherchent constamment de nouvelles vulnérabilités à exploiter dans le but d'agrandir leurs botnets. Voyons quelques exemples.
Exemple 1 :
En inspectant VirusTotal, on remarque que de nombreux fournisseurs de sécurité l'ont classifié comme malware et le site est connu pour héberger d'autres téléchargements de Mirai également.
Voici un autre exemple simple d'une tentative d'insertion du malware DDoS Mirai :
Se protéger contre ces types d'attaques
Comme nous l'avons vu, cette vulnérabilité suscite un intérêt constant, avec des pics occasionnels. Nos chercheurs s'attendent à ce que les pirates recherchent cette vulnérabilité et tentent de l'exploiter pendant encore quelque temps. Parce que les cybercriminels s'y intéressent fortement, il est important de prendre des mesures pour protéger vos systèmes.
- Application de correctifs : il convient d'appliquer un correctif dès maintenant, surtout si le système est connecté à Internet d'une manière ou d'une autre.
- Web Application Firewall : placer un web application firewall devant ces systèmes renforcera la défense contre les attaques zero-day et les autres vulnérabilités.
Dans la deuxième partie de ce rapport, nous étudierons plus en détail les dispositifs de cryptominage et nous nous intéresserons plus particulièrement à l'un d'entre eux qui fait preuve d'un comportement plutôt agressif.
