Os cibercriminosos usam ativamente vulnerabilidade crítica no Atlassian Confluence Server para pirataria remota do Linux- e-servidores Windows.
Euntruders instalam software extorsivo como GandGrab e Doflu (outros nomes são AES.DDoS e Sr.. Preto) sobre servidores comprometidos.A questão está em injeção de modelo no Widget Connector (CVE-2019-3396) que permite que o invasor remoto execute bypass de catálogo e execute código aleatório nas configurações do Confluence Server e do Data Center.
Augusto II Remilano, especialista em segurança de Trend Micro companhia, relatórios:
“Esta variante de malware pode realizar ataques DDoS, Execução Remota de Código, e mineração de criptomoeda em sistemas que executam versões vulneráveis do Confluence Server e Data Center. A Atlassian já tomou medidas para corrigir esses problemas e recomendou que os usuários atualizassem para a versão mais recente (6.15.1)”
Atualmente a vulnerabilidade tem muitos exploits. Chegou pela primeira vez em abril 10, e os cibercriminosos imediatamente o adicionaram ao seu arsenal. Começou a varredura em massa que procurava em configurações vulneráveis Confluence Server e Data Center que visava infectá-los com software extorsivo GandCrab.
Depois de comprometer um servidor, intrusos na máquina controlada baixam um conjunto de ferramentas Império PowerShell, com o uso dele, o upload da versão GandCrab obtida. De acordo com Logic alerta especialistas, para ignorar é explorado CertUtil LOLBin.
Através da vulnerabilidade CVE-2019-3396, os intrusos também instalam Doflu Malware. Este programa de malware auxilia na união de grandes quantidades de servidores com falhas em botnets para ataques DDos (com o uso de SYN, PLANTAR, UDP, UDPS e TCP – inundações) e mineração de criptomoeda.
O monitoramento contínuo no desenvolvimento de software deve ser praticado a fim de sinalizar riscos de segurança nos servidores, centros de dados, e outros ambientes de computação. Como a exploração bem-sucedida do CVE-2019-3396 no Atlassian Confluence Server pode colocar recursos em risco, as empresas devem ser capazes de identificar vulnerabilidades, faça uso da mais recente inteligência de ameaças contra malware ou exploits, e detectar modificações no design do aplicativo e na infraestrutura subjacente que o hospeda.