Llegamos a ustedes gracias a:



Alertas de Seguridad

Falla crítica en Atlassian Confluence

Explotada activamente

[06/09/2021] Los hackers han comenzado a explotar una vulnerabilidad crítica de ejecución remota de código que fue parcheada recientemente en Atlassian Confluence Server y Data Center. Algunos de los ataques despliegan malware de minería de criptomonedas, pero los productos de Atlassian también han sido objetivo en el pasado de grupos de ciberespionaje.

"Los honeypots de Bad Packets han detectado escaneos masivos y actividad de exploits dirigidos a la vulnerabilidad CVE-2021-26084 de Atlassian Confluence desde hosts en Rusia, Hong Kong, Brasil, Nepal, Polonia, Rumania, Estonia, Estados Unidos e Italia", señaló la firma de inteligencia de amenazas Bad Packet. "Se han publicado múltiples pruebas de concepto que demuestran cómo explotar esta vulnerabilidad".

Inyección OGNL de Webwork

Según Atlassian, CVE-2021-26084 es un problema de inyección OGNL que permite a los usuarios autentificados, y en algunos casos a los no autentificados, ejecutar código arbitrario en los servidores que ejecutan las versiones afectadas de los productos. El lenguaje de navegación Object-Graph (OGNL) es un lenguaje de expresión de código abierto para obtener y establecer propiedades de objetos Java.

Atlassian Confluence es una plataforma de colaboración en equipo basada en la web y escrita en Java para gestionar espacios de trabajo y proyectos que las organizaciones pueden ejecutar localmente en sus propios servidores. Atlassian Data Center es una versión de Confluence más rica en características que tiene soporte para cosas como calendarios de equipo, análisis, gestión de permisos más avanzada, soporte de red de entrega de contenido y más.

La falla afecta a todas las versiones de Atlassian Confluence y Data Center anteriores a las versiones 6.13.23, 7.4.11, 7.11.6, 7.12.5 y 7.13.0, que se publicaron el 25 de agosto para las ramas del software aún compatibles. Sin embargo, Atlassian recomienda actualizar a la última versión de la rama 7.13.x si es posible, que tiene soporte a largo plazo. También se han proporcionado scripts de parches manuales que pueden ejecutarse en hosts Linux o Windows como soluciones temporales para los usuarios que no puedan realizar una actualización completa.

Según el aviso de Atlassian, la vulnerabilidad fue reportada por un investigador llamado Benny Jacob (SnowyOwl) a través del programa de recompensas por errores de Atlassian, lo que sugiere que no era un defecto explotado en la naturaleza en el momento de su descubrimiento.

Sin embargo, desde entonces, otros investigadores analizaron el parche y escribieron informes detallados sobre la falla, con pruebas de concepto. Además, aunque Atlassian dice que el problema puede ser explotado por usuarios no autentificados "en algunos casos", la existencia de rutas de explotación no autentificadas podría ser más común de lo que los usuarios esperan.

"Por ejemplo, simplemente visitando /pages/doenterpagevariables.action debería renderizar el archivo de plantilla de velocidad que fue modificado, es decir, createpage-entervariables.vm", sostuvo el investigador de seguridad y cazador de errores, Harsh Jaiswal, en un análisis de la falla. "Recuerde que cualquier ruta que renderice esta plantilla provocaría que la vulnerabilidad [existiera] de forma completamente no autorizada, independientemente de que se activara la función Sign up".

Como con todas las vulnerabilidades de tipo inyección, el objetivo es inyectar código en la entrada esperada del usuario que sería evaluada y ejecutada por la aplicación fuera de contexto. En este caso particular, los atacantes pueden incluir comandos de línea de comandos (bash) que serían ejecutados en el sistema operativo. El código de Confluence utiliza un método isSafeExpression para evaluar las expresiones OGNL en busca de propiedades y métodos maliciosos codificados, pero al igual que con la mayoría de los enfoques basados en listas negras, los atacantes e investigadores suelen encontrar una forma de eludirlas, lo que también ocurrió en este caso.