Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor. Запуск сайта через несколько минут.

02 июня 2022 г. в 20:00 по всемирному координированному времени компания Atlassian выпустила бюллетень по безопасности, касающийся уязвимости удаленного выполнения кода (RCE), затрагивающей продукты Confluence Server и Confluence Data Center. Этот пост охватывает наш текущий анализ этой уязвимости.

Когда мы узнали об уязвимости, внутренние команды Cloudflare немедленно включились, чтобы обеспечить защиту всех наших клиентов и нашей собственной инфраструктуры:

Каково влияние этой уязвимости?

Согласно Volexity, уязвимость приводит к полной неаутентифицированной RCE, что позволяет злоумышленнику полностью захватить целевое приложение.

Активные эксплойты этой уязвимости используют внедрение команд с использованием специально созданных строк для загрузки файла вредоносного класса в память, что позволяет злоумышленникам впоследствии установить веб-оболочку на целевой машине, с которой они могут взаимодействовать.

После использования уязвимости злоумышленники могут внедрить дополнительный вредоносный код, например Behinder; пользовательская веб-оболочка noop.jsp, которая заменяет законный файл noop.jsp, расположенный в корне Confluence>/confluence/noop.jsp; и еще одна веб-оболочка с открытым исходным кодом под названием Chopper.

Наши наблюдения за попытками эксплойта в дикой природе

Узнав об уязвимости, мы начали просматривать данные WAF, чтобы выявить действия, связанные с использованием уязвимости. Мы выявили запросы, соответствующие потенциально вредоносным полезным нагрузкам, еще 26 мая 2022 г. в 00:33 по всемирному координированному времени, что указывает на то, что некоторые злоумышленники узнали об эксплойте до выпуска рекомендаций по безопасности Atlassian.

С тех пор как были введены наши правила смягчения последствий, мы наблюдали большой всплеск активности, начиная с 03.06.2022 10:30 UTC — чуть более чем через 10 часов после первого развертывания новых правил WAF. Этот большой всплеск совпадает с повышением осведомленности об уязвимости и выпуском общедоступных доказательств концепций. На момент написания статьи злоумышленники активно сканируют уязвимые приложения.

Наблюдения Cloudflare за нулевым днем ​​Confluence (CVE-2022-26134)

Несмотря на то, что мы видели действительные полезные нагрузки для атаки с 26 мая 2022 г., многие полезные нагрузки, которые начали соответствовать нашим первоначальным правилам смягчения последствий WAF после выпуска рекомендаций, не были действительны для этой конкретной уязвимости. Примеры приведены ниже:

Наблюдения Cloudflare за нулевым днем ​​Confluence (CVE-2022-26134)

Приведенная выше активность указывает на то, что злоумышленники использовали инструменты сканирования, чтобы попытаться идентифицировать векторы атак. Точные знания о том, как использовать уязвимость, могли быть закреплены среди избранных злоумышленников и не могли быть широко распространены.

Снижение числа соответствий правил WAF на графике выше после 03.06.2022 23:00 UTC связано с выпуском нами улучшенных правил WAF. Новые обновленные правила значительно повысили точность, уменьшив количество ложных срабатываний, как в примерах выше.

Действительный вредоносный URL-адрес, нацеленный на уязвимое приложение Confluence, показан ниже:

Наблюдения Cloudflare за нулевым днем ​​Confluence (CVE-2022-26134)

(Где $HOSTNAME является хостом целевого приложения.)

Приведенный выше URL-адрес будет запускать содержимое тела сообщения HTTP-запроса. eval(#parameters.data[0]). Обычно это будет скрипт, который загружает веб-оболочку на локальный сервер, позволяя злоумышленнику запускать произвольный код по требованию.

Другие примеры URL-адресов без схемы и имени хоста включают:

Наблюдения Cloudflare за нулевым днем ​​Confluence (CVE-2022-26134)

Некоторая активность, которую мы наблюдаем, свидетельствует о кампаниях вредоносных программ и поведении ботнетов. Важно отметить, что, учитывая структуру полезной нагрузки, другие правила WAF также оказались эффективными для смягчения определенных вариантов атаки. К ним относятся правила PHP100011 а также PLONE0002.

Ответ Cloudflare на CVE-2022-26134

У нас есть подход к глубокой защите, который использует Cloudflare для защиты Cloudflare. У нас была высокая уверенность в том, что эта уязвимость не повлияла на нас благодаря принятым мерам безопасности. Мы подтвердили это, используя наши возможности обнаружения и реагирования, чтобы проверить все наши внутренние активы и журналы на наличие признаков попытки компрометации.

Основные действия, которые мы предприняли в ответ на этот инцидент:

  1. Собрал как можно больше информации о нападении.
  2. Привлекли нашу команду WAF к работе над правилами смягчения последствий этого CVE.
  3. Мы просмотрели наши журналы на наличие признаков компрометации.
  4. Мы просмотрели журналы наших внутренних экземпляров Confluence на предмет любых признаков попыток эксплойтов. Мы дополнили нашу оценку строками шаблонов, предоставленными Atlassian: «${«.
  5. Все совпадения были просмотрены, чтобы выяснить, могут ли они быть настоящими подвигами. Мы не обнаружили никаких признаков того, что наши системы были нацелены на реальные эксплойты.
  6. Как только команда WAF убедилась в качестве новых правил, мы начали развертывать их на всех наших серверах, чтобы как можно скорее начать защищать наших клиентов. Поскольку мы также используем WAF для наших внутренних систем, наши экземпляры Confluence также защищены новыми правилами WAF.
  7. Мы тщательно проверили наши серверы Confluence на наличие признаков компрометации и наличия вредоносных имплантов. Признаков компрометации обнаружено не было.
  8. Мы развернули правила в наших системах SIEM и мониторинга, чтобы обнаруживать любые новые попытки эксплуатации наших экземпляров Confluence.

Как Cloudflare использует Confluence

Cloudflare использует Confluence внутри компании в качестве основной вики-платформы. Многие из наших команд используют Confluence в качестве основной платформы для обмена знаниями. Наши внутренние экземпляры защищены Cloudflare Access. В предыдущих сообщениях блога мы описали, как мы используем Access для защиты внутренних ресурсов. Это означает, что каждый запрос, отправляемый на наши серверы Confluence, должен быть аутентифицирован и проверен в соответствии с нашими политиками доступа. Неавторизованный доступ запрещен.

Это позволило нам быть уверенными, что только пользователи Cloudflare могут отправлять запросы к нашим экземплярам Confluence, тем самым снижая риск попыток внешней эксплуатации.

Что делать, если вы используете Confluence локально

Если вы являетесь клиентом Atlassian для их локальных продуктов, вам следует установить их последние фиксированные версии. Мы советуем следующие действия:

  1. Добавьте Cloudflare Access в качестве дополнительного уровня защиты для всех ваших сайтов. Простые инструкции по включению доступа к Cloudflare доступны здесь.
  2. Включите WAF, который включает защиту от CVE-2022-26134 перед вашими экземплярами Confluence. Для получения дополнительной информации о том, как включить Cloudflare WAF и другие продукты безопасности, проверьте здесь.
  3. Проверьте журналы ваших экземпляров Confluence на наличие признаков попыток эксплуатации. Ищите строки /wiki/ а также ${ в том же запросе.
  4. Используйте криминалистические инструменты и проверяйте наличие признаков постэксплуатационных инструментов, таких как веб-оболочки или другие вредоносные имплантаты.

Индикаторы компрометации и атаки

Следующие индикаторы связаны с активностью, наблюдаемой Cloudflare в дикой природе, как описано выше. Эти индикаторы можно искать в журналах, чтобы определить, есть ли компрометация в среде, связанная с уязвимостью Confluence.

Индикаторы компрометации (IOC)

.tg {граница-коллапс: коллапс; граница-спейсинг: 0;} размер: 14 пикселей; переполнение: скрытое; заполнение: 10 пикселей 5 пикселей; разрыв слова: нормальный;} .tg th {цвет границы: черный; стиль границы: сплошной; ширина границы: 1 пиксель; семейство шрифтов: Arial, без засечек; шрифт- размер: 14 пикселей; вес шрифта: нормальный; переполнение: скрытое; заполнение: 10px 5px; разрыв слова: нормальный;} .tg .tg-c3ow {border-color: inherit; text-align: center; vertical-align: top} .tg . tg-0pky {цвет границы: наследовать; выравнивание текста: по левому краю; выравнивание по вертикали: сверху}

# Тип Ценность Имя файла/хэш
1 Файл 50f4595d90173fbe8b85bd78a460375d8d5a869f1fef190f72ef993c73534276 Имя файла: 45.64.json
Вредоносный файл, связанный с эксплойтом
2 Файл b85c16a7a0826edbcddbd2c17078472169f8d9ecaa7209a2d3976264eb3da0cc Имя файла: 45.64.rar
Вредоносный файл, связанный с эксплойтом
3 Файл 90e3331f6dd780979d22f5eb339dadde3d9bcf51d8cb6bfdc40c43d147ecdc8c Имя файла: 45.640.txt
Вредоносный файл, связанный с эксплойтом
4 Файл 1905fc63a9490533dc4f854d47c7cb317a5f485218173892eafa31d7864e2043 Имя файла: 45.647.txt
Вредоносный файл, связанный с эксплойтом
5 Файл 5add63588480287d1aee01e8dd267340426df322fe7a33129d588415fd6551fc Имя файла: lan (perl-скрипт)
Вредоносный файл, связанный с эксплойтом
6 Файл 67c2bae1d5df19f5f1ac07f76adbb63d5163ec2564c4a8310e78bcb77d25c988 Имя файла: jui.sh
Вредоносный файл, связанный с эксплойтом
7 Файл 281a348223a517c9ca13f34a4454a6fdf835b9cb13d0eb3ce25a76097acbe3fb Имя файла: конф
Вредоносный файл, связанный с эксплойтом

Индикаторы атаки (IOA)

# Тип Ценность Описание
1 Строка URL ${ Строка, используемая для создания вредоносной полезной нагрузки
2 Строка URL javax.script.ScriptEngineManager Строка, указывающая на диспетчер ScriptEngine для создания вредоносных полезных нагрузок.