[05/07/2022] La empresa de software Atlassian ha publicado parches de emergencia para sus populares productos Confluence Server y Data Center después de que a finales de la semana pasada salieran a la luz informes de que los atacantes estaban explotando una vulnerabilidad no parcheada en la naturaleza. Según los datos del servicio de firewall de aplicaciones web (WAF) de Cloudflare, los ataques comenzaron a finales de mayo.
La vulnerabilidad, ahora rastreada como CVE-2022-26134, está calificada como crítica y permite a los atacantes no autentificados obtener la ejecución remota de código (RCE) en los servidores que alojan las versiones de Confluence afectadas. La compañía insta a los clientes a actualizar a las nuevas versiones 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 y 7.18.1, dependiendo de la versión que utilicen.
Actualización del 4 de julio: A pesar de la advertencia de actualización de Atlassian, los actores de las amenazas siguen viendo la oportunidad de la vulnerabilidad, según un informe del 28 de junio de Akamai. Sus investigadores están viendo una media de 20 mil intentos de explotación al día después de haber alcanzado un máximo de 100 mil al día inmediatamente después de que se informara de la vulnerabilidad. Los investigadores de Akamai predijeron que esta vulnerabilidad seguirá siendo explotada "durante al menos los próximos dos años".
Vulnerabilidad de inyección OGNL en Confluence
La vulnerabilidad se describe como una inyección de Object-Graph Navigation Language (OGNL), siendo OGNL un lenguaje de expresión de código abierto para obtener y establecer propiedades de objetos Java. Ofrece una forma más sencilla de conseguir lo que se puede hacer en el propio Java y está soportado en muchos productos.
De hecho, la inyección de OGNL es una clase de vulnerabilidad que ha afectado a otros proyectos populares en el pasado. Por ejemplo, la gran violación de datos del 2017 de Equifax fue causada por una vulnerabilidad de inyección OGNL no parcheada -CVE-2017-5638- en el popular marco de aplicaciones web Apache Struts. Al explotar tales fallas, los atacantes pueden engañar a las aplicaciones para que ejecuten código y comandos arbitrarios, lo que también fue el caso ahora con esta vulnerabilidad de Confluence.
Ataques a Confluence encontrados en la naturaleza
El primer informe sobre la vulnerabilidad llegó el 2 de junio de la mano de la empresa de seguridad Volexity, que la descubrió mientras investigaba un incidente de seguridad en un cliente que implicaba un servidor Confluence comprometido y accesible desde Internet. "Una revisión inicial de uno de los sistemas de Confluence Server identificó rápidamente que se había escrito un archivo JSP en un directorio web de acceso público", escribieron los investigadores de Volexity en una entrada de blog. "El archivo era una copia conocida de la variante JSP del webshell China Chopper. Sin embargo, una revisión de los registros web mostró que apenas se había accedido al archivo. La webshell parece haber sido escrita como medio de acceso secundario".
Al analizar un volcado de memoria del servidor, los investigadores encontraron pruebas de que la aplicación web Confluence lanzaba shells bash. Se trata de shells de línea de comandos en Linux. En primer lugar, el proceso de Confluence generó un proceso bash, que a su vez generó un proceso Python, que a su vez generó un shell bash. A continuación, se desplegó un implante de memoria disponible públicamente llamado BEHINDER que se ha utilizado en el pasado en ataques contra servidores web. El inconveniente de este implante es que no es persistente y desaparecerá si se reinicia el servidor, por lo que los atacantes optaron por escribir el webshell de China Chopper en el disco para tener una forma secundaria de acceder y reinfectar el sistema.
Actualización del 4 de julio: El informe de Akamai indica que los ataques de inyección OGNL se han multiplicado por siete desde que se reveló la vulnerabilidad de Confluence. Antes de la revelación, la monitorización de Akamai identificaba unos 790 intentos de inyección OGNL al día, una cifra que utilizaba como referencia. En el momento de la publicación del informe, esa cifra era de aproximadamente 20 mil al día de media. Los intentos exitosos han inyectado malware, incluyendo webshells y criptomineros, afectando principalmente a empresas de comercio, alta tecnología y servicios financieros. Estos tres sectores representan alrededor del 75% de los intentos de ataque.
Mitigación y respuesta a la vulnerabilidad de Confluence
Atlassian reaccionó rápidamente al informe y emitió un aviso con una regla WAF y soluciones temporales. Los clientes que no puedan realizar una actualización completa de la versión de forma inmediata pueden actualizar solo algunos de los archivos afectados, dependiendo de la versión que estén utilizando.
En un informe del 6 de junio, Cloudflare señaló que una vez que añadió sus propias reglas WAF para este exploit y miró los datos de registro históricos, vio que los primeros intentos de explotar la vulnerabilidad con cargas útiles válidas comenzaron el 26 de mayo. Otros intentos coincidían con la regla de detección del WAF, pero no tenían una carga útil y eran más bien escaneos para probar vectores de ataque. "El conocimiento exacto de cómo explotar la vulnerabilidad puede haberse consolidado entre atacantes selectos y no haberse generalizado", concluyó la empresa.
Tanto el informe de Volexity como el de Cloudflare contienen indicadores de compromiso. Dado que los ataques llevan dos semanas, las organizaciones deberían analizar sus servidores Confluence en busca de signos de intrusión a través de esta vulnerabilidad.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú