Confluence zero day

Threat Spotlight : les attaques continuent sur Atlassian Confluence zero day

Version imprimable, PDF et e-mail

Le 2 juin 2022, Volexity a réalisé une divulgation coordonnée d'une vulnérabilité zero-day en cours d'exploitation sur Atlassian Confluence, nommée CVE-2022-26134. Depuis la divulgation initiale et la publication ultérieure de diverses démonstrations de faisabilité, les chercheurs de Barracuda ont découvert un grand nombre de tentatives d’exploitation de cette vulnérabilité. Les tentatives d'exploitation vont de la reconnaissance bénigne à des tentatives relativement complexes d'infection de systèmes par des logiciels malveillants de type botnet DDoS et des cryptomineurs.

Lorsque nous avons signalé cette menace pour la première fois en juin, les chercheurs de Barracuda constataient un flot constant d'attaques visant à exploiter cette vulnérabilité, avec plusieurs pics importants. Nos chercheurs ont continué de surveiller ces attaques, et cette tendance s'est maintenue, le volume global n'ayant diminué que légèrement en août. Les attaquants n'ont clairement pas renoncé à exploiter cette vulnérabilité.

Vulnérabilité Confluence

Dans le premier Threat Spotlight, nous avons examiné certaines des charges utiles diffusées et les sources des attaques. Dans ce Threat Spotlight, nous examinons plus en détail quelques-unes des charges utiles diffusées par des acteurs malveillants qui tentent d'exploiter CVE-2022-26134.

Exemples de charges utiles

Voyons voir tout d'abord une tentative de diffusion du malware botnet DDoS Gafgyt.

Exemple 1 : malware botnet DDoS

Voici l'hôte qui présente tous les logiciels malveillants du botnet DDoS Gafgyt pour différents types de systèmes d'exploitation et d'architectures.

Voici la charge utile telle qu'elle a été livrée :

Exploitation de Confluence

Elle se traduit par :

Exploitation de Confluence

L'adresse IP de cette charge utile envoie un script shell exécuté, puis supprimé. En accédant à l'adresse IP, on peut trouver un répertoire ouvert contenant un certain nombre de fichiers exécutables, chacun correspondant apparemment à un type de système d'exploitation/architecture différent.

Script shell
Cette capture d'écran présente le script shell fourni dans la charge utile.

En ouvrant le script shell, on remarque qu’il télécharge ces fichiers exécutables, puis les exécute sur le système où il a été lancé.

L’attaquant tente essentiellement de créer un membre de botnet sur n’importe quel système pouvant être infecté. Selon le système d'exploitation/l'architecture du système infecté, l'un de ces fichiers exécutables sera exécuté et le système finira par faire partie du botnet. On a déjà vu Gafgyt agir de cette manière auparavant avec d'autres vulnérabilités, et cela continue maintenant également avec celle-ci.

L'adresse IP en question propose ces téléchargements de logiciels malveillants depuis un certain temps déjà et a été répertoriée sur la base de données URLhaus du site abuse.ch. À première vue, les premières soumissions datent de la fin mai de cette année, et l’hôte n’avait pas été retiré au moment de la rédaction de cet article.

URLhaus
Voici le listing URLhaus pour le malware botnet Gafgyt.

Exemple 2 : cryptomineur Monero

Passons maintenant aux charges utiles des cryptomineurs. Commençons par nous intéresser au cryptomineur Monero qui tente d'infecter une installation Windows :

cryptomineur

La charge utile utilise PowerShell pour exécuter un script encodé en base64 qui se traduit par :

charge utile de Confluence

Nous avons téléchargé le fichier (kill.bat) et l'on obtient la capture d'écran ci-dessous :

exploitation de Confluence

Il s'agit d'un script basé sur PowerShell qui commence par désactiver la surveillance en temps réel de Windows Defender, puis met fin à un certain nombre de services. Une fois ces services supprimés, il vérifie si une instance de Monero est déjà en cours d'exécution. Si c'est le cas, le script arrête l'instance existante pour optimiser les ressources sur l'hôte infecté. Ensuite, il télécharge un fichier nommé « mad.bat ». Une capture d'écran tronquée est illustrée ci-dessous :

Exploitation de Confluence

Mad.bat installe le mineur réel et le logiciel supplémentaire requis pour cela, y compris le logiciel 7zip pour décompresser le logiciel de minage.

Exemple 3 : cryptomineur à double encodage

Another interesting cryptominer payload is the following example, where the payload has been double encoded:
charge utile de ConfluenceIt decodes to:

Exemple d'exploitation de Confluence

Puis on obtient :

Vulnérabilité Confluence

Même si la charge utile réelle a été supprimée et n'est plus disponible pour être analysée, d'après la base de données URLhaus et VirusTotal, il semble s'agir d'un cryptomineur qui cible spécifiquement les systèmes Linux. D'après d'autres discussions en ligne, il semble que l'argument « ?load » varie d'une attaque à l'autre : certaines autres variantes sont « ?c4k » et « ?c5k ». Les arguments semblent être utilisés en interne par le binaire réel et pour se connecter à des services de minage spécifiques.

La même adresse IP a également servi une variante pour Windows comme indiqué dans la charge utile suivante :

Exploitation de Confluence Windows

Elle se traduit par :

Exploitation de Confluence Windows

Encore une fois, la charge utile n'est plus disponible, donc ce qui suit n'est qu'une spéculation basée sur ce que nous avons vu sur l'adresse IP et le nom de fichier. Elle est peut-être similaire à la variante Linux et peut télécharger le véritable cryptomineur. Le mot « lol » dans le nom de fichier peut faire référence à la technique d'attaque « living off the land », dans laquelle le logiciel malveillant utilise les outils existants disponibles sur le système d'exploitation pour agir, réduisant ainsi les risques d'être détecté en tant que logiciel malveillant par tout antivirus exécuté sur le système d'exploitation.

Dans notre prochaine et dernière partie de ce Threat Spotlight, nous étudierons en détail un autre cryptomineur qui a été découvert lors de tentatives d'exploitation de cette vulnérabilité. Il est un peu plus intéressant, et nous avons réussi à saisir toute la charge utile pour une analyse détaillée.

Protégez vos applications avec une plateforme simple

Remonter en haut de page
Tweeter
Partager
Partager