La backdoor Effluence persiste aún después de parchear los servidores Atlassian Confluence – Masterhacks Blog

La backdoor Effluence persiste aún después de parchear los servidores Atlassian Confluence

Investigadores de ciberseguridad han hallado un backdoor sigiloso denominado Effluence, desplegado tras el aprovechamiento exitoso de una reciente vulnerabilidad de seguridad en Atlassian Confluence Data Center y Server.

«Este malware actúa como un backdoor persistente y no se elimina aplicando parches a Confluence», señaló Aon’s Stroz Friedberg Incident Response Services en un análisis publicado esta semana.

«Este backdoor proporciona la capacidad de realizar un movimiento lateral hacia otros recursos de la red, además de la exfiltración de datos desde Confluence. Lo crucial es que los atacantes pueden acceder a este backdoor de manera remota sin autenticarse en Confluence».

La cadena de ataque documentada por la entidad de ciberseguridad implicó la explotación de CVE-2023-22515 (puntuación CVSS: 10.0), un fallo crítico en Atlassian que podría ser utilizado para crear cuentas de administrador no autorizadas en Confluence y acceder a los servidores de Confluence.

Desde entonces, Atlassian ha revelado una segunda vulnerabilidad conocida como CVE-2023-22518 (puntuación CVSS: 10.0) que un atacante también puede aprovechar para establecer una cuenta de administrador falsa, lo que resulta en una pérdida total de confidencialidad, integridad y disponibilidad.

Lo que resalta en este último ataque es que el adversario obtuvo acceso inicial a través de CVE-2023-22515 e incrustó un nuevo shell web que proporciona acceso remoto persistente a cada página web en el servidor, incluida la página de inicio de sesión no autenticada, sin necesidad de una cuenta de usuario válida.

Este shell web, compuesto por un cargador y una carga útil, es pasivo, permitiendo que las solicitudes pasen desapercibidas hasta que se proporcione una solicitud que coincida con un parámetro específico, momento en el cual desencadena su comportamiento malicioso mediante la ejecución de una serie de acciones.

Esto incluye la creación de una nueva cuenta de administrador, la eliminación de registros para encubrir el rastro forense, la ejecución de comandos arbitrarios en el servidor subyacente, la enumeración, lectura y eliminación de archivos, y la recopilación de información extensa sobre el entorno de Atlassian.

Según Aon, el componente del cargador actúa como un plugin normal de Confluence y es responsable de descifrar y lanzar la carga útil.

«Varias de las funciones del shell web dependen de las APIs específicas de Confluence», afirmó el investigador de seguridad Zachary Reichert.

«Sin embargo, el plugin y el mecanismo de carga parecen depender solo de las APIs comunes de Atlassian y son potencialmente aplicables a JIRA, Bitbucket u otros productos de Atlassian donde un atacante pueda instalar el plugin».

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *