3 يونيو، 2022 0 تعليقات

قراصنة يستغلون نقاط ضعف يوم الصفر للتلاؤم الأطلسي الحرج

حذرت Atlassian من ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بُعد والتي تؤثر على منتجات Confluence Server و Data Center التي قالت إنه يتم استغلالها بنشاط في البرية.

عزت شركة البرمجيات الأسترالية الفضل إلى شركة الأمن السيبراني Volexity لتحديد الخلل ، والذي يتم تتبعه باعتباره CVE-2022-26134 .

وقالت في تقرير استشاري: “لقد تم إعلام Atlassian بالاستغلال النشط الحالي لثغرة أمنية خطيرة غير مصادق عليها لتنفيذ التعليمات البرمجية عن بُعد في مركز بيانات Confluence وخادم” .

“لا توجد حاليًا إصدارات ثابتة من Confluence Server ومركز البيانات. تعمل Atlassian بأولوية قصوى لإصدار إصلاح.” تم حجب تفاصيل الثغرة الأمنية حتى يتوفر تصحيح البرنامج.

تتأثر جميع الإصدارات المدعومة من Confluence Server و Data Center ، على الرغم من أنه من المتوقع أن تكون جميع إصدارات حل المؤسسة عرضة للخطر. أقرب نسخة متأثرة لم يتم التأكد منها بعد.

في حالة عدم وجود إصلاح ، تحث Atlassian العملاء على تقييد مثيلات Confluence Server و Data Center من الإنترنت أو التفكير في تعطيل مثيلات Confluence Server و Data Center تمامًا.

قالت Volexity ، في إفصاح مستقل ، إنها رصدت النشاط خلال عطلة يوم الذكرى في الولايات المتحدة كجزء من التحقيق في الاستجابة للحوادث.

تضمنت سلسلة الهجوم الاستفادة من ثغرة يوم الصفر في Atlassian – وهي ثغرة أمنية لحقن الأوامر – لتحقيق تنفيذ كود عن بعد غير مصدق على الخادم ، مما يتيح للممثل التهديد استخدام موطئ قدم لإسقاط غلاف ويب Behinder.

قال الباحثون: ” يوفر Behinder قدرات قوية جدًا للمهاجمين ، بما في ذلك قذائف الويب الخاصة بالذاكرة فقط والدعم المدمج للتفاعل مع Metpreter و Cobalt Strike” . “في الوقت نفسه ، لا يسمح بالمثابرة ، مما يعني أن إعادة التشغيل أو إعادة تشغيل الخدمة ستقضي عليه.”

بعد ذلك ، يُقال إن غلاف الويب قد تم استخدامه كقناة لنشر قشرتي ويب إضافيتين على القرص ، بما في ذلك China Chopper وقذيفة تحميل ملف مخصصة لاستخراج الملفات التعسفية إلى خادم بعيد.

يأتي هذا التطوير بعد أقل من عام من استخدام عيب خطير آخر في تنفيذ التعليمات البرمجية عن بُعد في Atlassian Confluence ( CVE-2021-26084 ، درجة CVSS: 9.8) بشكل نشط في البرية لتثبيت مُعدني العملات المشفرة على الخوادم المخترقة.

وقالت فوليكسيتي: “باستغلال هذا النوع من الثغرات الأمنية ، يمكن للمهاجمين الوصول المباشر إلى الأنظمة والشبكات شديدة الحساسية”. “علاوة على ذلك ، غالبًا ما يكون من الصعب التحقيق في هذه الأنظمة ، لأنها تفتقر إلى إمكانات المراقبة أو التسجيل المناسبة.”