[07/06/2022] La empresa de software Atlassian ha publicado parches de emergencia para sus populares productos Confluence Server y Data Center después de que a finales de la semana pasada salieran a la luz informes de que los atacantes estaban explotando una vulnerabilidad no parcheada. Según los datos del servicio de firewall de aplicaciones web (WAF) de Cloudflare, los ataques comenzaron hace casi dos semanas.
La vulnerabilidad, ahora rastreada como CVE-2022-26134, está calificada como crítica y permite a los atacantes no autentificados obtener la ejecución remota de código (RCE) en los servidores que alojan las versiones de Confluence afectadas. La compañía insta a los clientes a actualizar a las nuevas versiones 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 y 7.18.1, dependiendo de la versión que utilicen.
Vulnerabilidad de inyección OGNL en Confluence
La vulnerabilidad se describe como una inyección de Object-Graph Navigation Language (OGNL), siendo OGNL un lenguaje de expresión de código abierto para obtener y establecer propiedades de objetos Java. Ofrece una forma más sencilla de conseguir lo que se puede hacer en el propio Java y está soportado en muchos productos.
De hecho, la inyección de OGNL es una clase de vulnerabilidad que ha afectado a otros proyectos populares en el pasado. Por ejemplo, la gran violación de datos del 2017 de Equifax fue causada por una vulnerabilidad de inyección OGNL no parcheada -CVE-2017-5638- en el popular marco de aplicaciones web Apache Struts. Al explotar tales fallas, los atacantes pueden engañar a las aplicaciones para que ejecuten código y comandos arbitrarios, lo que también fue el caso ahora con esta vulnerabilidad de Confluence.
Ataques a Confluence
El primer informe sobre la vulnerabilidad llegó el 2 de junio de la mano de la empresa de seguridad Volexity, que la descubrió mientras investigaba un incidente de seguridad en un cliente que implicaba un servidor Confluence comprometido y accesible desde Internet. "Una revisión inicial de uno de los sistemas de Confluence Server identificó rápidamente que se había escrito un archivo JSP en un directorio web de acceso público", escribieron los investigadores de Volexity en una entrada de blog. "El archivo era una copia conocida de la variante JSP del webshell China Chopper. Sin embargo, una revisión de los registros web mostró que apenas se había accedido al archivo. La webshell parece haber sido escrita como medio de acceso secundario".
Al analizar un volcado de memoria del servidor, los investigadores encontraron pruebas de que la aplicación web Confluence lanzaba shells bash. Se trata de shells de línea de comandos en Linux. En primer lugar, el proceso de Confluence generó un proceso bash, que a su vez generó un proceso Python, que a su vez generó un shell bash. A continuación, se desplegó un implante de memoria disponible públicamente llamado BEHINDER que se ha utilizado en el pasado en ataques contra servidores web. La desventaja de este implante es que no es persistente y desaparecerá si el servidor se reinicia, por lo que los atacantes optaron por escribir el webshell China Chopper en el disco para tener una forma secundaria de acceder y reinfectar el sistema.
Mitigación y respuesta a la vulnerabilidad de Confluence
Atlassian reaccionó rápidamente al informe y emitió un aviso con una regla WAF y soluciones temporales. Los clientes que no puedan realizar una actualización completa de la versión de forma inmediata pueden actualizar solo algunos de los archivos afectados dependiendo de la versión que estén utilizando.
En un informe del 6 de junio, Cloudflare señaló que una vez que añadió sus propias reglas WAF para este exploit y miró los datos de registro históricos, vio que los primeros intentos de explotar la vulnerabilidad con cargas útiles válidas comenzaron el 26 de mayo. Otros intentos coincidían con la regla de detección del WAF, pero no tenían una carga útil y eran más bien escaneos para probar vectores de ataque. "El conocimiento exacto de cómo explotar la vulnerabilidad puede haberse consolidado entre atacantes selectos y no haberse generalizado", concluyó la empresa.
Tanto el informe de Volexity como el de Cloudflare contienen indicadores de compromiso. Dado que los ataques llevan dos semanas, las organizaciones deberían analizar sus servidores Confluence en busca de signos de intrusión a través de esta vulnerabilidad.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú