Threat Spotlight : Tentatives d’exploitation d’Atlassian Confluence zero day

Version imprimable, PDF et e-mail

Le 2 juin 2022,  Volexity a révélé l'existence, de manière coordonnée,  d'une vulnérabilité zero-day de Confluence d'Atlassian, qui était déjà exploitée. Elle a été nommée CVE-2022-26134. Depuis la révélation et la publication ultérieure de plusieurs démonstrations de faisabilité, les chercheurs de Barracuda ont  analysé  les données de nos sites dans le monde entier et découvert un grand nombre de tentatives d'exploitation de cette vulnérabilité. Les tentatives vont de la reconnaissance bénigne à des tentatives relativement plus complexes d'infecter les systèmes par des malware  DDoS Botnet  et du cryptominage. 

Les chercheurs de Barracuda ont observé un flux constant d'attaques, avec quelques pics, notamment celui du 13 juin. Nous nous attendons à ce que ce genre d'attaques se poursuive et que leur volume se maintienne à l'avenir. 

 

Menaces particulièrement importantes 

Vulnérabilité zero-day de Confluence d'Atlassian — Atlassian Confluence est un outil de documentation collaborative. Le 2 juin, des informations sur ce qui est maintenant connu sous le nom de CVE -2022-26134 ont été rendues publiques. Le week-end suivant, divers pirates ont exploité la vulnérabilité dans des attaques, et, en un rien de temps, des acteurs malicieux en ont pris connaissance. 

Cette vulnérabilité permet à des pirates non identifiés et à distance de créer de nouveaux comptes administratifs, d'exécuter des commandes à accès restreint et de contrôler les serveurs. 

Les tentatives d'exploitation provenaient principalement d'adresses IP localisées en Russie, suivies d'adresses IP provenant des États-Unis, d'Inde, des Pays-Bas et d'Allemagne. Comme nous l'avons vu dans  des études précédentes, les attaques lancées à partir d'adresses IP situées aux États-Unis proviennent principalement de fournisseurs cloud. De même, en Allemagne, la plupart des attaques provenaient de fournisseurs d'hébergement. 

 

 

Exemples de charges utiles

Commençons par examiner les charges utiles les plus « bénignes » que nous avons détectées.

Exemple n°1 :

Qui se traduit par :

C'est une tentative courante, qui utilise un script de faisabilité tiré directement de GitHub. Il tente essentiellement d'exécuter une commande « whoami » sur le serveur pour voir si celui-ci est effectivement concerné par la vulnérabilité de Confluence.

Exemple n°2 :


Qui se traduit par :

Celui-ci exécute netsat, qui sert à recueillir des informations système, probablement à des fins de reconnaissance ou simplement pour vérifier si l'hôte est vulnérable, comme dans le cas de « whoami » et de la récupération de « /etc/passwd ».

Exemple n°3 :

Qui se traduit par :

Ici, un autre exemple courant, dans lequel le pirate tente de vider le fichier /etc/passwd, au cas où le système Linux/Unix exécute aussi Confluence. Dans la plupart des cas, il s'agit d'une tentative de reconnaissance.

Passons aux shells web, l'exemple ci-dessous est une tentative cherchant à injecter un shell web, que nous avons constatée dans nos échantillons.

Au final, la longue chaîne base64 se traduit par ce shell web :

 

Ce shell web est une copie quasi conforme d'un exemple de shell web tiré du livre « The Art of Network Penetration Testing », de Royce Davis.

L'exemple suivant est l'une des tentatives de nuire les plus destructrices.

Qui se traduit par :

Comme on le voit ici, le pirate cherchait à tout supprimer sur l'installation de Confluence, y compris le répertoire racine. Cela aurait eu pour conséquence d'effacer totalement le serveur de Confluence et de sérieusement perturber les propriétaires de l'application.

Les charges utiles qui installent le malware Mirai

Nous avons également vu un certain nombre de tentatives d'infecter les serveurs de Confluence avec des malware. Les acteurs malveillants recherchent constamment de nouvelles vulnérabilités à exploiter dans le but d'agrandir leurs botnets. Voyons voir quelques exemples.

Exemple n°1 :

Qui se traduit par :

Ce script ares.sh apparaît sous plusieurs formes dans la base de données URLhaus du site abuse.ch. La plupart des entrées consistent en une variante du botnet Mirai et certains des scripts shell sont hébergés sur le même serveur.

En inspectant VirusTotal, on remarque que de nombreux fournisseurs de sécurité l'ont classifié comme malware et le site est connu pour héberger d'autres téléchargements de Mirai également.

 

Exemple n°2 :

Voici un autre exemple simple d'une tentative d'insertion du malware DDoS Mirai :

Qui se traduit par :

 

 

Se protéger contre ces types d'attaques

Comme nous l'avons vu, cette vulnérabilité suscite un intérêt constant, avec des pics occasionnels. Nos chercheurs s'attendent à ce que les pirates recherchent cette vulnérabilité et tentent de l'exploiter pendant encore quelque temps. Parce que les cybercriminels s'y intéressent fortement, il est important de prendre des mesures pour protéger vos systèmes.

  • Application de correctifs : il convient d'appliquer un correctif dès maintenant, surtout si le système est connecté à Internet d'une manière ou d'une autre.
  • Web Application Firewall : placer un web application firewall devant ces systèmes renforcera la défense contre les attaques zero-day et les autres vulnérabilités.

Dans la 2e partie de ce rapport, nous étudierons plus en détail les dispositifs de cryptominage et nous nous intéresserons plus particulièrement à l'un d'entre eux qui fait preuve d'un comportement plutôt agressif.

 

Remonter en haut de page
Tweeter
Partager
Partager