แฮ็กเกอร์กำลังเริ่มโจมตีโดยใช้ช่องโหว่ zero-day ระดับ Critical ** ของ Atlassian Confluence ที่มีหมายเลข CVE-2022-26134 เพื่อติดตั้งเว็บเชลล์ โดยปัจจุบันยังไม่มีวิธีการแก้ไขออกมาจาก Atlassian
วันนี้ (2 มิ.ย. 2565) Atlassian ได้ออกคำแนะนำด้านความปลอดภัยที่เปิดเผยว่าช่องโหว่ CVE-2022-26134 เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์ ซึ่งพบทั้งใน Confluence Server และ Data Center
Atlassian ยืนยันว่ามีช่องโหว่ใน Confluence Server 7.18.0 และเชื่อว่า Confluence Server และ Data Center 7.4.0 ก็มีความเสี่ยงเช่นกัน โดยคำแนะนำยังเตือนว่าผู้โจมตีกำลังเริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าวบน Confluence Server 7.18.0 และยังไม่มีแพตซ์ในปัจจุบัน
Atlassian จึงแนะนำให้ผู้ใช้งานปิดการเชื่อมต่อไปยัง Confluence Server และ Data Center จากอินเทอร์เน็ต หรือปิดการใช้งานไปเลยเป็นการชั่วคราว เนื่องจากยังไม่มีวิธีอื่นในการลดผลกระทบ ส่วนองค์กรที่ใช้ Atlassian Cloud (เข้าถึงได้ทาง atlassian.net) จะไม่ได้รับผลกระทบจากช่องโหว่นี้ Atlassian กำลังเร่งออกแพตช์ และจะเผยแพร่ข้อมูลคำแนะนำเพิ่มเติมต่อไป
สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้เพิ่ม zero-day ดังกล่าวลงใน Known Exploited Catalog เรียบร้อย และกำหนดให้หน่วยงานของรัฐบาลกลางปิดการเข้าถึงเซิร์ฟเวอร์ Confluence ทั้งหมดจากอินเทอร์เน็ตภายในวันพรุ่งนี้ (3 มิถุนายน 2565)
บริษัทรักษาความปลอดภัยทางไซเบอร์ Volexity อธิบายว่า พวกเขาค้นพบการโจมตีด้วยช่องโหว่ดังกล่าวในช่วงสุดสัปดาห์ที่ผ่านมาจากการทำ Incident response หลังจากการตรวจสอบ และจำลองการโจมตีได้ จึงรายงานไปยัง Atlassian เมื่อวันที่ 31 พ.ค. 2565
"หลังจากตรวจสอบข้อมูลอย่างละเอียดแล้ว Volexity สามารถระบุการเข้าควบคุมเซิร์ฟเวอร์ที่เกิดจากการที่ผู้โจมตีใช้วิธีการเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกล โดยในเวลาต่อมา Volexity สามารถจำลองวิธีการโจมตีนั้นขึ้นมาใหม่ได้ จึงสามารถระบุได้ว่าเกิดจากช่องโหว่ที่ยังเป็น zero-day ที่ส่งผลกระทบต่อ Confluence Server ในเวอร์ชันล่าสุด"
โดย Volexity ระบุว่าผู้โจมตีได้ติดตั้ง BEHINDER ซึ่งเป็นเว็บเชลล์ JSP ที่ทำให้ผู้โจมตีสามารถรันคำสั่งบนเซิร์ฟเวอร์ที่ถูกโจมตีได้ตามที่ต้องการ จากนั้นผู้โจมตีก็ใช้ BEHINDER เพื่อติดตั้งเว็บเชลล์ China Chopper อีกตัวเผื่อไว้อีกด้วย
Volexity กล่าวว่า พวกเขาเชื่อว่ากำลังพบผู้โจมตีจากประเทศจีนหลายคนกำลังใช้ประโยชน์จากช่องโหว่เหล่านี้
เนื่องจากยังไม่มีแพตช์ Volexity แนะนำให้ผู้ดูแลระบบ Confluence ยกเลิกการเชื่อมต่อเซิร์ฟเวอร์ของตนจากอินเทอร์เน็ตจนกว่า Atlassian จะออกแพตซ์แก้ไข และยังได้เปิดเผย IP address ที่เกี่ยวข้องกับการโจมตี และ Yara rules เพื่อระบุพฤติกรรมของ Web Shell บนเซิร์ฟเวอร์ Confluence อีกด้วย
อัปเดต ล่าสุด Atlassian ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ CVE-2022-26134 ออกมาแล้ว โดยแนะนำให้ผู้ใช้งานอัปเดตให้เป็นเวอร์ชันล่าสุดดังนี้ 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 และ 7.18.1
แต่หากองค์กรใดยังไม่สามารถดำเนินการอัปเดตได้ สามารถใช้วิธีการลดผลกระทบจากการโจมตีเบื้องต้นได้ดังนี้
Confluence 7.15.0 - 7.18.0
1. Shut down Confluence.
2.ดาวน์โหลดไฟล์นี้จาก Confluence server:
- xwork-1.0.3-atlassian-10.jar
3. Delete (หรือ move ไฟล์ JAR ออกจาก directory ที่ติดตั้ง Confluence):
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
ห้ามมีไฟล์ JAR เก่าทิ้งไว้ใน directory.
4. Copy ไฟล์ xwork-1.0.3-atlassian-10.jar ไปที่ <confluence-install>/confluence/WEB-INF/lib/
5. ตรวจสอบ permissions และ ownership ของไฟล์ xwork-1.0.3-atlassian-10.jar ให้เป็นเหมือนเดิมกับไฟล์เก่าที่เคยอยู่ใน directory.
6. Start Confluence.
Confluence 7.0.0 - Confluence 7.14.2
1. Shut down Confluence.
2. ดาวน์โหลดไฟล์เหล่านี้จาก Confluence server:
- xwork-1.0.3-atlassian-10.jar
- webwork-2.1.5-atlassian-4.jar
- CachedConfigurationProvider.class
3. Delete (หรือ move ไฟล์ JAR ออกจาก directory ที่ติดตั้ง Confluence):
_{{<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar}}_
ห้ามมีไฟล์ JAR เก่าทิ้งไว้ใน directory.
4. Copy ไฟล์ xwork-1.0.3-atlassian-10.jar ไปที่ <confluence-install>/confluence/WEB-INF/lib/
5. Copy ไฟล์ webwork-2.1.5-atlassian-4.jar ไปที่ <confluence-install>/confluence/WEB-INF/lib/
6. ตรวจสอบ permissions และ ownership ของทั้ง 2 ไฟล์ให้เป็นเหมือนเดิมกับไฟล์เก่าที่เคยอยู่ใน directory.
7. ไปที่ directory <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
a. สร้าง directory ใหม่ชื่อ webwork
b. Copy CachedConfigurationProvider.class ไปที่ <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
c. ตรวจสอบ permissions และ ownership ของทั้ง directory และไฟล์ที่ Copy มาให้ถูกต้อง
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
<confluence-install>/confluence/WEB-
INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class{{}}
8. Start Confluence.
IOC ที่เกี่ยวข้อง
156.146.34.46
156.146.34.9
156.146.56.136
198.147.22.148
45.43.19.91
66.115.182.102
66.115.182.111
67.149.61.16
154.16.105.147
64.64.228.239
156.146.34.52
154.146.34.145
221.178.126.244
59.163.248.170
98.32.230.38
ที่มา : bleepingcomputer
You must be logged in to post a comment.