Хакеры активно эксплуатируют незакрытую 0-day в Atlassian Confluence

Хакеры активно эксплуатируют незакрытую 0-day в Atlassian Confluence

Хакеры активно эксплуатируют незакрытую 0-day в Atlassian Confluence

Разбор атаки на одного из клиентов Volexity показал, что злоумышленники проникли на два хоста с помощью ранее неизвестной уязвимости в Confluence Server. Вендор (Atlassian) уже поставлен в известность и готовит патч, пользователям рекомендуется отключить такие серверы от интернета.

Детали уязвимости нулевого дня CVE-2022-26134 пока не разглашаются. В Volexity ее классифицируют как инъекцию команд, в бюллетене Atlassian она охарактеризована как возможность удаленно и без аутентификации выполнить код. Степень опасности проблемы разработчик оценил как критическую.

Расследование, проведенное экспертами, показало, что авторы атаки использовали CVE-2022-26134 для установки веб-шеллов. После отработки эксплойта в систему загружался BEHINDER — скрипт JSP, работающий как бэкдор. Этот выполняемый в памяти зловред, поддерживающий Meterpreter и Cobalt Strike, был ранее неоднократно замечен в атаках китайских хакеров.

Поскольку такой бэкдор может слететь при перезагрузке системы или перезапуске службы, злоумышленники для верности установили на серверах еще два веб-шелла: JSP-вариант China Chopper и простейший загрузчик файлов — на сей раз с записью на диск.

Также в ходе атаки на взломанных узлах была проведена проверка содержимого папок /etc/passwd и /etc/shadow, выгружены пользовательские таблицы из локальной базы данных Confluence, изменены записи в журнале доступа (чтобы скрыть свидетельства эксплойта).

Проведенный в Atlassian аудит показал, что CVE-2022-26134 актуальна для всех поддерживаемых версий Confluence Server (в том числе только что вышедшей 7.18.0) и Data Center. Пользователям Atlassian Cloud эта угроза не страшна.

Обновления с патчем разработчик рассчитывает выпустить сегодня вечером (к утру 4 июня по Москве), а пока советует пользователям ограничить интернет-доступ к Confluence Server и Data Center или совсем их отключить. Те, для кого это неприемлемо, могут снизить риск, введя блокировку URL с подстановками ${...} на уровне WAF — эту меру защиты уже приняла Cloudflare для всех своих клиентов.

Аналитики из Volexity полагают, что CVE-2022-26134, позволяющий захватить контроль над системой, уже взяли на вооружение многие китайские хакеры. Специалисты ИБ-компании создали YARA-правила для выявления на серверах Confluence активности, связанной с веб-шеллами, и опубликовали список IP-адресов, которые авторы атаки использовали для взаимодействия с зараженными машинами.

Федеральное агентство кибербезопасности США (CISA) добавило CVE-2022-26134 в свой список известных уязвимостей под атакой и предписало госорганам к 3 июня заблокировать весь входящий интернет-трафик на серверах Confluence. Уязвимости в продуктах Atlassian популярны у хакеров, которые охотно используют их для развертывания криптомайнеров или шифровальщиков — таких как Cerber и AtomSilo.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Нанософт собрался провести размещение акций до конца апреля

Разработчик САПР «Нанософт» планирует провести IPO до конца апреля. Компания рассчитывает привлечь около 3 млрд рублей. О намерении выйти на биржу сообщили РБК два источника на финансовом рынке.

По информации издания, «Нанософт» уже определила банки-организаторы размещения и нацелена на привлечение порядка 3 млрд рублей.

Партнёр фонда «Восход» Артур Мартиросов отметил, что компания может привлечь от 2 до 4 млрд рублей. Однако окончательное решение фонд примет только после согласования всех условий сделки.

Инвестиционный стратег УК «Арикапитал» Сергей Суверов считает, что именно ИТ-компании будут наиболее привлекательны для инвесторов благодаря высокой рентабельности и относительно низкой налоговой нагрузке.

Что касается сегмента инженерного ПО, то, по прогнозам Strategy Partners, он будет расти в среднем на 16% в год как минимум в течение следующих пяти лет. При этом среди российских компаний данного профиля пока ни одна не проводила IPO. Основным риском для «Нанософта», по мнению опрошенных РБК экспертов, может стать возможный отказ государства от политики импортозамещения и возвращение на рынок иностранных игроков.

Директор по работе с состоятельными клиентами «БКС Мир инвестиций» Андрей Петров выразил осторожный скепсис, сославшись на неудачное IPO JetLend. Он указал на высокую рыночную волатильность и текущую геополитическую обстановку как на сдерживающие факторы.

«Компания динамично развивается и постоянно изучает возможности для дальнейшего роста. Публичный статус, помимо привлечения средств инвесторов, откроет дополнительные перспективы для партнёрств и укрепит наш корпоративный бренд», — прокомментировал возможное размещение генеральный директор «Нанософта» Андрей Серавкин.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru