Cyber-Kriminelle aktiv kritische Sicherheitslücke in Atlassian Confluence Server verwenden für Remote-Hacking von Linux- und Windows-Servern.
ichntruders installieren erpresserische Software als GandGrab und Dofloo (andere Namen sind AES.DDoS und Herr. Schwarz) auf kompromittierten Servern.Das Problem ist in den Schablonen Injektion in Widget-Connector (CVE-2019-3396) Dadurch kann ein entfernter Angreifer die Katalogumgehung durchführen und zufälligen Code für die Einstellungen von Confluence Server und Data Center ausführen.
Augusto II Remillano, Sicherheitsspezialist aus Trend Micro Unternehmen, Berichte:
„Diese Malware-Variante kann DDoS-Angriffe ausführen, Remotecodeausführung, und Cryptocurrency Mining auf Systemen, auf denen anfällige Versionen von Confluence Server und Data Center ausgeführt werden. Atlassian hat bereits Schritte unternommen, um diese Probleme zu beheben, und empfohlen, dass Benutzer auf die neueste Version aktualisieren (6.15.1)“
Derzeit hat die Sicherheitslücke viele Exploits. Zuerst im April angekommen 10, und Cyberkriminelle fügten es sofort ihrem Arsenal hinzu. Begann mit dem Massenscannen, das nach anfälligen Einstellungen suchte. Confluence Server und Data Center zielten darauf ab, sie mit erpresserischer Software zu infizieren GandCrab.
Nach dem Kompromittieren eines Servers, Eindringlinge auf der gesteuerten Maschine laden eine Reihe von Werkzeugen herunter Empire PowerShell, Mit der Verwendung erreichte der Upload die GandCrab-Version. Gemäß Alert Logic Spezialisten, zum Umgehen wird ausgenutzt CertUtil LOLBin.
Durch die Sicherheitsanfälligkeit werden auch Eindringlinge CVE-2019-3396 installiert Dofloo Malware. Dieses Malware-Programm hilft bei der Vereinigung großer Mengen abgestürzter Server in Botnetzen für DDos-Angriffe (mit der Verwendung von SYN, LSYN, UDP, UDPS und TCP - Überschwemmungen) und Cryptocurrency Mining.
Eine kontinuierliche Überwachung in der Softwareentwicklung sollte praktiziert werden, um Sicherheitsrisiken auf Servern zu kennzeichnen, Daten Center, und andere Computerumgebungen. Seit der erfolgreichen Nutzung von CVE-2019-3396 in Atlassian Confluence Server können Ressourcen gefährdet werden, Unternehmen sollten in der Lage sein, Schwachstellen zu identifizieren, Nutzen Sie die neuesten Bedrohungsinformationen gegen Malware oder Exploits, und Änderungen am Design der Anwendung und an der zugrunde liegenden Infrastruktur, in der sie gehostet wird, erkennen.
