ช่องโหว่ Atlassian Confluence ที่สามารถทำให้ผู้โจมเข้าถึง Server ได้

ช่องโหว่ Atlassian Confluence ที่สามารถทำให้ผู้โจมเข้าถึง Server ได้

เมื่อวันที่ 25 สิงหาคม 2564 ที่ผ่านมา ทาง Atlassian ได้ออกคำแนะนำด้านความปลอดภัยสำหรับช่องโหว่ CVE-2021-26084 - Confluence Server Webwork OGNL injection CVSS:9.8 ที่สามารถให้ผู้โจมตีทำการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บน Server ที่มีช่องโหว่ ซึ่งช่องโหว่ดังกล่าวเกิดจาก Open-source expression language (OGNL Injection) เป็นช่องโหว่ที่ทำให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ หรือบางครั้งผู้ใช้ที่ไม่ผ่านการตรวจสอบ ก็สามารถรันโค้ดบนเซิฟเวอร์ Confluence หรือ Data Center instance ได้ และล่าสุดพบว่ามีผู้โจมตีจากหลายๆ ประเทศทำการทดสอบ exploit servers เพื่อดาวน์โหลด และเรียกใช้ PowerShell script หรือ Linux Shell script

 

และ Bad Packets ที่เป็นบริษัทด้านความปลอดภัยได้ยืนยันว่าพบผู้โจมตีกำลังพยายามติดตั้ง XMRig cryptocurrency miner บน Windows Server และ Linux Confluence Servers เพื่อขุด Monero และถึงแม้ว่าในขณะนี้จะพบว่าช่องโหว่ดังกล่าวถูกใช้แค่ในการขุด cryptocurrency แต่ก็ไม่ได้หมายความว่าอนาคตกลุ่มแฮกเกอร์จะไม่โจมตีระบบด้วยวิธีการที่มีความรุนแรงมากกว่านี้ โดยเฉพาะหาก confluence server ติดตั้งแบบ host on-premise ซึ่งอาจทำให้เกิดการแพร่กระจายผ่านเครือข่าย และอาจนำไปสู่การโจมตี Ransomware และการขโมยข้อมูลได้

 

ลูกค้าของ Atlassian ที่อัพเกรดเป็นเวอร์ชั่น 6.13.23, 7.11.6, 7.12.5, 7.13.0 หรือ 7.4.11 แล้วจะไม่ได้รับผลกระทบ

ระบบ Confluence Server และ Confluence Data Center ที่ได้รับผลกระทบ

All 4.x.x versions
All 5.x.x versions
All 6.0.x versions
All 6.1.x versions
All 6.2.x versions
All 6.3.x versions
All 6.4.x versions
All 6.5.x versions
All 6.6.x versions
All 6.7.x versions
All 6.8.x versions
All 6.9.x versions
All 6.10.x versions
All 6.11.x versions
All 6.12.x versions
All 6.13.x versions before 6.13.23
All 6.14.x versions
All 6.15.x versions
All 7.0.x versions
All 7.1.x versions
All 7.2.x versions
All 7.3.x versions
All 7.4.x versions before 7.4.11
All 7.5.x versions
All 7.6.x versions
All 7.7.x versions
All 7.8.x versions
All 7.9.x versions
All 7.10.x versions
All 7.11.x versions before 7.11.6
All 7.12.x versions before 7.12.5

คำแนะนำ

หากกำลังใช้งานเวอร์ชันที่ได้รับผลกระทบ ให้อัปเกรดเป็นเวอร์ชัน 7.13.0 (LTS) หรือสูงกว่า
หากใช้เวอร์ชัน 6.13.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 6.13.23
หากใช้เวอร์ชัน 7.4.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.4.11
หากใช้เวอร์ชัน 7.11.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.11.6
หากใช้เวอร์ชัน 7.12.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.12.5

หรือถ้าหากไม่สามารถอัพเดทได้ในทันที สามารถแก้ไขเบื้องต้นได้ตามลิงค์ด้านล้างนี้ในหัวข้อ Mitigateon (confluence.

Confluence Servers Hacked to Install Miners and Rootkits

เมื่อวันที่ 20 มีนาคม 2562 ที่ผ่านมา ทาง Atlassian ได้ทำการปล่อยแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงสุดคือ CVE-2019-3396 ส่งผลกระทบกับ Confluence Server และ Confluence Data Center โดยช่องโหว่นี้กำลังถูกโจมตีหลายแบบที่ Confluence Server เช่น ถูกวาง ransomware, ถูกใช้เพื่อหา cryptocurrency และถูกวางมัลแวร์ที่ใช้การโจมตีแบบ DDos

3 สัปดาห์ต่อมาจากการแพตช์ ทางนักวิจัยด้านความปลอดภัยรายงานว่าแฮกเกอร์ทำการโจมตีอีกครั้งโดยใช้ช่องโหว่เดิม พบว่าเป็นการโจมตีจาก IP ที่มาจากประเทศโรมาเนียที่พยายามวางมัลแวร์ชื่อ Dofloo DDoS

และในวันที่ 7 พฤษภาคม 2019 นักวิจัยได้พบรูปแบบการโจมตีใหม่โดยใช้ช่องโหว่เดียวกันนี้อีก โดยเป็นการแพร่มัลแวร์ Kerberods ที่มีความสามารถในการหา cryptocurrency และวาง rootkit การโจมตีแบบใหม่นี้จะเริ่มต้นจากการส่งคำสั่งเพื่อดาวน์โหลดคำสั่งถัดไปจาก Pastebin โดยจะดาวน์โหลดคำสั่งเป็นขั้นๆ หลายครั้งจนกว่าจะถึงคำสังที่ใช้ดาวน์โหลดมัลแวร์ Kerberods

เมื่อมัลแวร์ Kerberods ถูกติดตั้ง มันจะใช้ทรัพยากรของเครื่องเซิร์ฟเวอร์เพื่อหา cryptocurrency จากนั้นจะวาง rootkit เพื่อซ่อนการทำงานและแพร่กระจายตัวเองต่อไป จากข่าวรายงานว่า rootkit มาในรูปแบบการเข้ารหัสและได้รับการคอมไพล์เป็นไบนารีด้วยระบบ GNU Compiler Collection (GCC) โดย rootkit มีวิธีการแพร่กระจายด้วยตนเองหลายวิธีโดยใช้การเชื่อมต่อ SSH และโมดูล Metasploit สำหรับหาช่องโหว่ CVE-2019-1003001 ในเซิร์ฟเวอร์ Jenkins อัตโนมัติ

ผู้ดูแลระบบ Confluence ควรทำการอัปเดตแพตช์ CVE-2019-3396 เพื่อความปลอดภัย
ที่มา: bleepingcomputer.