Confluence Servers Hacked to Install Miners and Rootkits


เมื่อวันที่ 20 มีนาคม 2562 ที่ผ่านมา ทาง Atlassian ได้ทำการปล่อยแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงสุดคือ CVE-2019-3396 ส่งผลกระทบกับ Confluence Server และ Confluence Data Center โดยช่องโหว่นี้กำลังถูกโจมตีหลายแบบที่ Confluence Server เช่น ถูกวาง ransomware, ถูกใช้เพื่อหา cryptocurrency และถูกวางมัลแวร์ที่ใช้การโจมตีแบบ DDos

3 สัปดาห์ต่อมาจากการแพตช์ ทางนักวิจัยด้านความปลอดภัยรายงานว่าแฮกเกอร์ทำการโจมตีอีกครั้งโดยใช้ช่องโหว่เดิม พบว่าเป็นการโจมตีจาก IP ที่มาจากประเทศโรมาเนียที่พยายามวางมัลแวร์ชื่อ Dofloo DDoS

และในวันที่ 7 พฤษภาคม 2019 นักวิจัยได้พบรูปแบบการโจมตีใหม่โดยใช้ช่องโหว่เดียวกันนี้อีก โดยเป็นการแพร่มัลแวร์ Kerberods ที่มีความสามารถในการหา cryptocurrency และวาง rootkit การโจมตีแบบใหม่นี้จะเริ่มต้นจากการส่งคำสั่งเพื่อดาวน์โหลดคำสั่งถัดไปจาก Pastebin โดยจะดาวน์โหลดคำสั่งเป็นขั้นๆ หลายครั้งจนกว่าจะถึงคำสังที่ใช้ดาวน์โหลดมัลแวร์ Kerberods

เมื่อมัลแวร์ Kerberods ถูกติดตั้ง มันจะใช้ทรัพยากรของเครื่องเซิร์ฟเวอร์เพื่อหา cryptocurrency จากนั้นจะวาง rootkit เพื่อซ่อนการทำงานและแพร่กระจายตัวเองต่อไป จากข่าวรายงานว่า rootkit มาในรูปแบบการเข้ารหัสและได้รับการคอมไพล์เป็นไบนารีด้วยระบบ GNU Compiler Collection (GCC) โดย rootkit มีวิธีการแพร่กระจายด้วยตนเองหลายวิธีโดยใช้การเชื่อมต่อ SSH และโมดูล Metasploit สำหรับหาช่องโหว่ CVE-2019-1003001 ในเซิร์ฟเวอร์ Jenkins อัตโนมัติ

ผู้ดูแลระบบ Confluence ควรทำการอัปเดตแพตช์ CVE-2019-3396 เพื่อความปลอดภัย
ที่มา: bleepingcomputer.com