Cybersicherheitsforscher haben eine heimliche Hintertür namens Effluence entdeckt, die nach der erfolgreichen Ausnutzung einer kürzlich offengelegten Sicherheitslücke im Atlassian Confluence Data Center und Server eingesetzt wird. „Die Malware fungiert als dauerhafte Hintertür und kann nicht durch die Anwendung von Patches auf Confluence behoben werden“, sagte Stroz Friedberg Incident Response Services von Aon in einer Anfang dieser Woche veröffentlichten Analyse. „Die Hintertür bietet zusätzlich zur Exfiltration von Daten aus Confluence die Möglichkeit zur lateralen Bewegung zu anderen Netzwerkressourcen. Wichtig ist, dass Angreifer aus der Ferne auf die Hintertür zugreifen können, ohne sich bei Confluence zu authentifizieren.“
Die von der Cybersicherheitseinheit dokumentierte Angriffskette beinhaltete die Ausnutzung von CVE-2023-22515, einem kritischen Fehler in Atlassian, der missbraucht werden konnte, um nicht autorisierte Confluence-Administratorkonten zu erstellen und auf Confluence-Server zuzugreifen.
Atlassian hat inzwischen eine zweite Schwachstelle namens CVE-2023-22518 offengelegt, die ein Angreifer ebenfalls ausnutzen kann, um ein betrügerisches Administratorkonto einzurichten, was zu einem vollständigen Verlust der Vertraulichkeit, Integrität und Verfügbarkeit führt. Das Besondere an dem jüngsten Angriff ist, dass sich der Angreifer über CVE-2023-22515 den ersten Zugriff verschaffte und eine neuartige Web-Shell einbettete, die dauerhaften Fernzugriff auf jede Webseite auf dem Server, einschließlich der nicht authentifizierten Anmeldeseite, gewährt, ohne dass ein Zugriff bzw. gültiges Benutzerkonto erforderlich ist . Die Web-Shell, die aus einem Loader und Payload besteht, ist passiv und lässt Anfragen unbemerkt passieren, bis eine Anfrage bereitgestellt wird, die einem bestimmten Parameter entspricht. Anschließend löst sie ihr bösartiges Verhalten aus, indem sie eine Reihe von Aktionen ausführt. Dies umfasst das Erstellen eines neuen Administratorkontos, das Löschen von Protokollen, um die forensische Spur zu vertuschen, das Ausführen beliebiger Befehle auf dem zugrunde liegenden Server, das Aufzählen, Lesen und Löschen von Dateien sowie das Zusammenstellen umfangreicher Informationen über die Atlassian-Umgebung.