Atlassian Confluence Server’ı etkileyen ve birkaç ay önce ortaya çıkan, şu anda yamalı kritik güvenlik açığı, yama uygulanmamış kurulumlarda yasadışı kripto para madenciliği için aktif olarak kullanılıyor.
Trend Micro tehdit araştırmacısı, “Düzeltilmediği ve başarıyla yararlanıldığı takdirde, bu güvenlik açığı, altyapının ve dağıtım bilgi hırsızlarının, uzaktan erişim truva atlarının (RAT’ler) ve fidye yazılımlarının tamamen ele geçirilmesi gibi birden çok ve daha fazla kötü niyetli saldırı için kullanılabilir.” Sunil Bharti bir raporda söyledi.
CVE-2022-26134 (CVSS puanı: 9.8) olarak izlenen sorun, Avustralya yazılım şirketi tarafından Haziran 2022’de ele alındı.
Siber güvenlik şirketi tarafından gözlemlenen bulaşma zincirlerinden birinde, kusur, kurbanın makinesinde bir kabuk komut dosyası (“ro.sh”) indirip çalıştırmak için kullanıldı ve bu da ikinci bir kabuk komut dosyası (“ap.sh”) getirdi. “).
Kötü amaçlı kod, PATH değişkenini “/tmp” gibi ek yollar içerecek şekilde güncellemek, uzak bir sunucudan cURL yardımcı programını (zaten yoksa) indirmek, iptables güvenlik duvarını devre dışı bırakmak, PwnKit kusurunu kötüye kullanmak (CVE-2021-4034) için tasarlanmıştır. ) kök ayrıcalıkları kazanmak ve sonuçta hezb kripto madencisini dağıtmak.
Diğer kripto hırsızlığı saldırıları gibi, kabuk betiği de SSH aracılığıyla yanal hareket gerçekleştirmeden önce diğer rakip madeni para madencilerini sonlandırır, Alibaba ve Tencent’ten bulut hizmeti sağlayıcı aracılarını devre dışı bırakır.
Bulgular, daha önce Lacework, Microsoft, Sophos ve Akamai tarafından Haziran ayında açıklanan benzer istismar girişimlerini yansıtıyor.
Lacework’ün analizi ayrıca, cURL yazılımını almak için kullanılan komut ve kontrol (C2) sunucusunun yanı sıra hezb madencisinin, kötü amaçlı yazılımın ilgilenilen süreçleri öldürmesini sağlayan “kik” adlı Golang tabanlı bir ELF ikili dosyası da dağıttığını gösteriyor.
Tehdit aktörleri tarafından başka kötü amaçlarla kötüye kullanılabileceğinden, kullanıcıların kusuru düzeltmeye öncelik vermeleri önerilir.
Bharti, “Saldırganlar, yorumlama için kendi kodlarını enjekte etmenin ve hedeflenen Confluence etki alanına erişim elde etmenin yanı sıra, sunucuyu müteakip kötü niyetli faaliyetler için kontrol etmekten altyapının kendisine zarar vermeye kadar çeşitli saldırılar gerçekleştirebilir.” Dedi.