Изображение: Knownsec 404 Team
Исследователи информационной безопасности из Knownsec 404 Team изучили патч для обнаруженной в марте уязвимости в Confluence и опубликовали код для её эксплуатации. Использование этой ошибки безопасности позволяет злоумышленникам получить возможность выполнения любых команд на сервере Confluence и загрузки вредоносного ПО.
Вскоре после публикации эксплоита к уязвимости, эксперты PT ESC обнаружили массовые попытке ее эксплуатации. Рассказываем, в чем проблема и как защититься.
В чем проблема
Уязвимость CVE-2019-3396 возникла из-за ошибки в коде модуля Widget Connector в Confluence Server. С её помощью злоумышленник может заставить уязвимый Confluence загрузить вредоносный шаблон со своего сервера и исполнить любые команды. Атака не требует авторизации на сервере.
В опубликованном разработчиками Confluence из компании Atlassian бюллетене безопасности, уязвимость описана так:
Атакующий может эксплуатировать уязвимость для осуществления инъекций шаблонов на стороне сервиса, обхода пути и удаленного исполнения кода на системах с уязвимыми Confluence Server и Data Server.
Помимо этого, исследователи из Assetnote и DEVCORE обнаружили уязвимость CVE-2019-3395 в плагине WebDAV. Она позволяет производить подделку запросов на стороне сервера (Server Side Request Forgery, SSRF). Хакеры могут отправлять случайные HTTP и WebDAV-запросы с уязвимых экземпляров Confluence Server и Data Server.
Уязвимые версии ПО:
- Все версии 1.x.x, 2.x.x, 3.x.x, 4.x.x и 5.x.x
- Все версии 6.0.x, 6.1.x, 6.2.x, 6.3.x, 6.4.x, и 6.5.x
- Все версии 6.6.x до 6.6.12
- Все версии 6.7.x, 6.8.x, 6.9.x, 6.10.x и 6.11.x
- Все версии 6.12.x до 6.12.3
- Все версии 6.13.x до 6.13.3
- Все версии 6.14.x до 6.14.2
Ошибка исправлена:
- В версии 6.6.12 и более поздних версиях 6.6.x
- В версии 6.12.3 и более поздних версиях 6.12.x
- В версии 6.13.3 и более поздних версиях 6.13.x
- В версии 6.14.2 и выше.
Эксплуатация
Детали уязвимости были опубликованы 10 апреля, а уже на следующий день эксперты Positive Technologies ESC обнаружили массовое сканирование портов 8090 в интернете – это стандартный порт для сервера Confluence.
Обнаружить попытки атаки просто: она всегда будет сопровождаться входящими POST-запросами на URL /rest/tinymce/1/macro/preview и, в случае взлома сервера, исходящими запросами на FTP-сервер злоумышленника на загрузку файла с расширением .vm. По данным поискового сервиса ZoomEye, в интернете доступно по меньшей мере 60,000 серверов Confluence.
Кроме того, эксперты стали свидетелями заражения серверов Confluence вредоносным ПО Linux Spike Trojan, ранее известного как MrBlack. Он представляет собой ELF-файл и главным образом предназначен для проведения DDoS-атак.
При попадании в систему вредонос закрепляется с помощью файла rc.local и стартует при каждом запуске зараженного компьютера. После запуска, в отдельном потоке и в бесконечном цикле, он собирает информацию о системе и отправляет на контролируемый атакующими C2 сервер. Среди собираемых данных информация о процессоре, сетевых интерфейсах и запущенных процессах. После этого в отдельном потоке запускается бесконечный цикл, в котором он отправляет на сервер строку “VERSONEX:1|1|1|1|1|Hacker”, а в ответ ждет команду.
Команды которые может выполнить вредонос:
- выполнить команду через shell
- начать DDOS
- завершить работу
Команда для DDOS содержит в себе зашифрованные AES адреса серверов, на которые необходимо начать атаку. Вредонос расшифровывает с помощью вшитого ключа.
Доступные варианты DDOS атаки:
- SYN flood
- LSYN flood
- UDP flood
- UDPS flood
- TCP flood
- CC flood
Как защититься
Уязвимость CVE-2019-3396 была исправлена 20 марта 2019 года. На сайте Atlassian доступен бюллетень безопасности с её описанием и списком версий с исправлением. Для исправления уязвимости пользователям необходимо обновить систему до версий, включенных в патч.
Также, для обнаружения попыток эксплуатации уязвимости CVE-2019-3396 и активности Linux Spike мы разработали правила для Suricata IDS:
