29 sept 2021

Vulnerabilidad crítica en Atlassian Confluence permite instalar malware y criptomineros

Se ha descubierto que actores de amenazas están explotando activamente una falla de seguridad crítica recientemente revelada en las implementaciones de Atlassian Confluence en Windows y Linux. Luego del ataque, los delincuentes instalan webshells que dan como resultado la ejecución de criptomineros en sistemas comprometidos.

Registrada como CVE-2021-26084 (puntuación CVSS: 9,8), la vulnerabilidad se refiere a una falla de inyección OGNL (Object-Graph Navigation Language) que podría explotarse para lograr la ejecución de código arbitrario en una instancia de Confluence Server o Data Center. La explotación exitosa puede resultar en la ejecución de código arbitrario en el contexto de seguridad del servidor afectado.

"Un atacante remoto puede aprovechar esta vulnerabilidad enviando una solicitud HTTP diseñada que contiene un parámetro malicioso a un servidor vulnerable", señalaron los investigadores de Trend Micro en un informe técnico que detalla la debilidad.

La vulnerabilidad, que reside en el módulo Webwork de Atlassian Confluence Server and Data Center, se debe a una validación insuficiente de la entrada proporcionada por el usuario, lo que hace que el analizador evalúe los comandos fraudulentos inyectados dentro de las expresiones OGNL.

Los ataques se comenzaron a producir después de que el Comando Cibernético de EE.UU. advirtiera sobre intentos de explotación masiva luego de la divulgación pública de la vulnerabilidad a fines de agosto de este año.

En uno de estos ataques observado por Trend Micro, z0Miner, un troyano y Cryptojacker, se actualizó para aprovechar la falla de ejecución remota de código (RCE) para distribuir e implementar software de minería de criptomonedas. Imperva, en un análisis independiente, corroboró los hallazgos, descubriendo intentos de intrusión similares que tenían como objetivo ejecutar el minero de criptomonedas XMRig y otros scripts posteriores a la explotación.

Imperva, Juniper, y Lacework también detectaron la actividad de explotación realizada por Muhstik, una botnet vinculada a China conocida por su capacidad de autopropagación parecida a un gusano para infectar servidores Linux y dispositivos IoT desde al menos 2018.

Además, el equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks dijo que identificó y evitó ataques que fueron orquestados para robar contraseñas , así como para descargar scripts con malware que descargaron un minero, e incluso abrieron una shell reversa   interactivo en la máquina.

"Como suele pasar en los casos de vulnerabilidades de RCE, los atacantes se apresurarán y explotarán los sistemas afectados para su propio beneficio", dijeron los investigadores de Imperva. "Las vulnerabilidades de RCE pueden permitir fácilmente a los actores de amenazas explotar los sistemas afectados para obtener ganancias monetarias fáciles instalando mineros de criptomonedas y enmascarando su actividad, abusando así de los recursos de procesamiento del objetivo".

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!