Sophos detecta vulnerabilidad en la propagación automática

94

Sophos Labs reveló una vulnerabilidad grave dentro Confluence, la intranet central de Atlassian. Si bien la cantidad de servidores vulnerables aún es baja, la compañía detectó una incidencia alta de ataques contra este tipo de servidores, que se ejecutan en Windows o Linux. Dos de esos ataques, dieron como resultado el despliegue de cargas útiles del ransomware Cerber.

La vulnerabilidad CVE-2022-26134 permite que un atacante genere un webshell de acceso remoto, sin escribir ninguna clase de código en el almacenamiento local del servidor. Atlassian ha publicado actualizaciones del producto (que también solucionan otras vulnerabilidades relacionadas con la seguridad) y estrategias de mitigación, que la mayoría de sus clientes parecen estar implementando.

Pero todo esto tiene una particularidad destacable: la mayoría de casos que Sophos detectó parecen estar automatizados, y algunos de los atacantes usan un shell web sin archivos para propagar varias cargas útiles en un solo movimiento.

Esto indica que los atacantes iniciales que aprovecharon este exploit lo hicieron para, posteriormente, difundir una colección más amplia de herramientas de piratería.

Publicidad

¿Cómo opera CVE-2022-26134?
En los dos incidentes en los que los atacantes intentaron implementar ransomware, Sophos detectó ejecuciones inesperadas de la herramienta ‘curl’ en el servidor antes de la implementación. Mientras la compañía intentaba comunicarse con los clientes afectados, el atacante entregó un comando de PowerShell codificado al servidor de Confluence que controlaba.

El comando codificado era una instrucción para descargar y ejecutar un programa de Windows, guardado en el directorio ‘%temp%’ en una carpeta con el nombre svcPrvinit.exe. Luego, enviaba la instrucción de eliminar el programa toda vez que había sido ejecutado. Es ahí en donde la carga útil se despliega y se multiplica en diversas carpetas dentro del sistema vulnerado.

Sophos explica que si los servidores no hubieran estado protegidos y el ataque hubiera tenido éxito, los operadores habrían descubierto que la mayoría de sus archivos ahora tendrían el sufijo .locked adjunto a sus nombres y cada carpeta contendrá un archivo llamado __$$RECOVERY_README$$__. html con un enlace a un sitio web del delincuente y una solicitud de pago dentro de los 30 días siguientes. Todo esto, acompañado de la siguiente amenaza: «publicaremos información sobre sus datos privados en sitios web públicos de noticias».

Detección y guía
Sophos emitió algunas instrucciones para mover los componentes vulnerables a carpetas que no son de acceso público. Por su parte, una actualización de parches por parte de Atlassian debería resolver el problema de la vulnerabilidad en el corto o mediano plazo.

Finalmente, la compañía considera que, si bien el reinicio de un servidor eliminará cualquier código de shell remoto en la memoria de las máquinas infectadas, este no eliminará los componentes del kit de herramientas de piratas informáticos que algunos atacantes colocan en el directorio %temp% en Windows. En algunos casos, puede justificarse la eliminación manual del contenido de esas carpetas.

DEJA UNA RESPUESTA

Por favor introduce tu comentario
Por favor introduce tus comentarios