Em Atlassian Confluence Server é encontrado vulnerabilidade pela qual os invasores podem fazer upload de programas de malware

Os cibercriminosos usam ativamente vulnerabilidade crítica no Atlassian Confluence Server para pirataria remota do Linux- e-servidores Windows.

Euntruders instalam software extorsivo como GandGrab e Doflu (outros nomes são AES.DDoS e Sr.. Preto) sobre servidores comprometidos.

A questão está em injeção de modelo no Widget Connector (CVE-2019-3396) que permite que o invasor remoto execute bypass de catálogo e execute código aleatório nas configurações do Confluence Server e do Data Center.

Augusto II Remilano, especialista em segurança de Trend Micro companhia, relatórios:

“Esta variante de malware pode realizar ataques DDoS, Execução Remota de Código, e mineração de criptomoeda em sistemas que executam versões vulneráveis ​​do Confluence Server e Data Center. A Atlassian já tomou medidas para corrigir esses problemas e recomendou que os usuários atualizassem para a versão mais recente (6.15.1)”

Atualmente a vulnerabilidade tem muitos exploits. Chegou pela primeira vez em abril 10, e os cibercriminosos imediatamente o adicionaram ao seu arsenal. Começou a varredura em massa que procurava em configurações vulneráveis ​​Confluence Server e Data Center que visava infectá-los com software extorsivo GandCrab.

Depois de comprometer um servidor, intrusos na máquina controlada baixam um conjunto de ferramentas Império PowerShell, com o uso dele, o upload da versão GandCrab obtida. De acordo com Logic alerta especialistas, para ignorar é explorado CertUtil LOLBin.

Reportagem TrendMicro no Twitter
Reportagem TrendMicro no Twitter

Através da vulnerabilidade CVE-2019-3396, os intrusos também instalam Doflu Malware. Este programa de malware auxilia na união de grandes quantidades de servidores com falhas em botnets para ataques DDos (com o uso de SYN, PLANTAR, UDP, UDPS e TCP – inundações) e mineração de criptomoeda.

Augusto II Remillano da TrendMicro deu as seguintes dicas de segurança:

O monitoramento contínuo no desenvolvimento de software deve ser praticado a fim de sinalizar riscos de segurança nos servidores, centros de dados, e outros ambientes de computação. Como a exploração bem-sucedida do CVE-2019-3396 no Atlassian Confluence Server pode colocar recursos em risco, as empresas devem ser capazes de identificar vulnerabilidades, faça uso da mais recente inteligência de ameaças contra malware ou exploits, e detectar modificações no design do aplicativo e na infraestrutura subjacente que o hospeda.

Polina Lisovskaya

Trabalho como gerente de marketing há anos e adoro pesquisar tópicos interessantes para você

Deixe uma resposta

Botão Voltar ao Topo