Piratage Du Serveur Atlassian Confluence

Une faille de sécurité critique maintenant corrigée affectant Atlassian Confluence Server qui a été révélée il y a quelques mois est activement exploitée pour l’extraction illicite de crypto-monnaie sur des installations non corrigées.

« Si elle n’est pas corrigée et exploitée avec succès, cette vulnérabilité pourrait être utilisée pour des attaques multiples et plus malveillantes, telles qu’une prise de contrôle complète du domaine de l’infrastructure et des voleurs d’informations de déploiement, des chevaux de Troie d’accès à distance (RAT) et des ransomwares », a déclaré un chercheur sur les menaces de Trend Micro. Sunil Bharti a dit dans un rapport.

Le problème, identifié comme CVE-2022-26134 (score CVSS : 9,8), a été résolu par la société de logiciels australienne en juin 2022.

La Cyber-Sécurité

Dans l’une des chaînes d’infection observées par la société de cybersécurité, la faille a été exploitée pour télécharger et exécuter un script shell (« ro.sh ») sur la machine de la victime, qui, à son tour, a récupéré un deuxième script shell (« ap.sh « ).

Le code malveillant est conçu pour mettre à jour le variable CHEMIN pour inclure des chemins supplémentaires tels que « /tmp », téléchargez l’utilitaire cURL (s’il n’est pas déjà présent) à partir d’un serveur distant, désactivez le pare-feu iptables, abusez de la faille PwnKit (CVE-2021-4034) pour obtenir les privilèges root, et finalement déployez le mineur crypto hezb.

Publicité
Curl

Comme d’autres attaques de cryptojacking, le script shell met également fin à d’autres mineurs de pièces concurrents, désactive les agents des fournisseurs de services cloud d’Alibaba et de Tencent, avant d’effectuer un mouvement latéral via SSH.

Les découvertes reflètent des tentatives d’exploitation similaires précédemment divulguées par DentelleMicrosoft, Sophos et Akamaï en juin.

La Cyber-Sécurité

L’analyse de Lacework montre en outre que le serveur de commande et de contrôle (C2) utilisé pour récupérer le logiciel cURL ainsi que le mineur hezb ont également distribué un binaire ELF basé sur Golang nommé « kik » qui permet au logiciel malveillant de tuer les processus d’intérêt.

Il est conseillé aux utilisateurs de prioriser la correction de la faille car elle pourrait être exploitée par des acteurs malveillants à d’autres fins néfastes.

« Les attaquants pourraient profiter de l’injection de leur propre code pour l’interprétation et accéder au domaine Confluence ciblé, ainsi que mener des attaques allant du contrôle du serveur pour des activités malveillantes ultérieures à l’endommagement de l’infrastructure elle-même », a déclaré Bharti.

Rate this post
Publicité
Article précédentL’intrigue s’épaissit qu’Apple, Google et peut-être d’autres gardiens chercheront à faire dérailler, à défier ou à retarder la Loi sur les marchés numériques et la Loi sur les services numériques devant les tribunaux.
Article suivantQuelle est l’OST complète de Metal Hellsinger ?
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici