링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

Atlassian Confluence Server 패치에도 불구하고 ‘Effluence’ 백도어가 지속됨

2023년 11월 10일뉴스 편집실사이버 공격/위협 인텔리전스

사이버 보안 연구원들이 다음과 같은 은밀한 백도어를 발견했습니다. 유출 이는 Atlassian Confluence 데이터 센터 및 서버에서 최근 공개된 보안 결함을 성공적으로 악용한 후 배포되었습니다.

Aon의 Stroz Friedberg 사고 대응 서비스는 이번 주 초 발표된 분석에서 “맬웨어는 지속적인 백도어 역할을 하며 Confluence에 패치를 적용해도 해결되지 않습니다.”라고 밝혔습니다.

“백도어는 Confluence에서 데이터를 유출하는 것 외에도 다른 네트워크 리소스로의 측면 이동 기능을 제공합니다. 중요한 점은 공격자가 Confluence에 인증하지 않고도 원격으로 백도어에 액세스할 수 있다는 것입니다.”

사이버 보안

사이버 보안 기관이 문서화한 공격 체인에는 승인되지 않은 Confluence 관리자 계정을 생성하고 Confluence 서버에 액세스하는 데 악용될 수 있는 Atlassian의 심각한 버그인 CVE-2023-22515(CVSS 점수: 10.0)의 악용이 수반되었습니다.

Atlassian은 공격자가 악성 관리자 계정을 설정하는 데 악용할 수 있는 CVE-2023-22518(CVSS 점수: 10.0)이라는 두 번째 결함을 공개했으며, 이로 인해 기밀성, 무결성 및 가용성이 완전히 손실될 수 있습니다.

최신 공격에서 눈에 띄는 점은 공격자가 CVE-2023-22515를 통해 초기 액세스 권한을 얻었으며 인증되지 않은 로그인 페이지를 포함하여 서버의 모든 웹 페이지에 대한 지속적인 원격 액세스를 허용하는 새로운 웹 셸을 내장했다는 것입니다. 유효한 사용자 계정.

로더와 페이로드로 구성된 웹 셸은 수동적이므로 특정 매개 변수와 일치하는 요청이 제공될 때까지 요청이 눈에 띄지 않게 통과할 수 있으며, 이 시점에서 일련의 작업을 실행하여 악의적인 동작을 트리거합니다.

여기에는 새 관리자 계정 생성, 포렌식 추적을 덮기 위해 로그 제거, 기본 서버에서 임의 명령 실행, 파일 열거, 읽기 및 삭제, Atlassian 환경에 대한 광범위한 정보 컴파일 등이 포함됩니다.

사이버 보안

Aon에 따르면 로더 구성 요소는 일반 Confluence 플러그인 역할을 하며 페이로드의 암호 해독 및 실행을 담당합니다.

보안 연구원인 Zachary Reichert는 “몇몇 웹 셸 기능은 Confluence 관련 API에 의존합니다.”라고 말했습니다.

“그러나 플러그인과 로더 메커니즘은 일반적인 Atlassian API에만 의존하는 것으로 보이며 공격자가 플러그인을 설치할 수 있는 JIRA, Bitbucket 또는 기타 Atlassian 제품에 잠재적으로 적용 가능합니다.”

이 기사가 흥미로웠나요? 우리를 따라 오세요 트위터 그리고 LinkedIn에서 우리가 게시하는 더 많은 독점 콘텐츠를 읽어보세요.

Leave A Reply

Your email address will not be published.