{"id":141,"date":"2023-11-16T14:13:26","date_gmt":"2023-11-16T13:13:26","guid":{"rendered":"https:\/\/www.stoerti.com\/?p=141"},"modified":"2023-11-16T14:13:45","modified_gmt":"2023-11-16T13:13:45","slug":"effluence-backdoor-bleibt-trotz-atlassian-confluence-patch-bestehen","status":"publish","type":"post","link":"https:\/\/www.stoerti.com\/index.php\/2023\/11\/16\/effluence-backdoor-bleibt-trotz-atlassian-confluence-patch-bestehen\/","title":{"rendered":"Effluence-Backdoor bleibt trotz Atlassian Confluence-Patch bestehen"},"content":{"rendered":"<p>Cybersicherheitsforscher haben eine heimliche Hintert\u00fcr namens Effluence entdeckt, die nach der erfolgreichen Ausnutzung einer k\u00fcrzlich offengelegten Sicherheitsl\u00fccke im Atlassian Confluence Data Center und Server eingesetzt wird. \u201eDie Malware fungiert als dauerhafte Hintert\u00fcr und kann nicht durch die Anwendung von Patches auf Confluence behoben werden\u201c, sagte Stroz Friedberg Incident Response Services von Aon in einer Anfang dieser Woche ver\u00f6ffentlichten Analyse. \u201eDie Hintert\u00fcr bietet zus\u00e4tzlich zur Exfiltration von Daten aus Confluence die M\u00f6glichkeit zur lateralen Bewegung zu anderen Netzwerkressourcen. Wichtig ist, dass Angreifer aus der Ferne auf die Hintert\u00fcr zugreifen k\u00f6nnen, ohne sich bei Confluence zu authentifizieren.\u201c<\/p><p>Die von der Cybersicherheitseinheit dokumentierte Angriffskette beinhaltete die Ausnutzung von <a href=\"https:\/\/thehackernews.com\/2023\/10\/microsoft-warns-of-nation-state-hackers.html\">CVE-2023-22515<\/a>, einem kritischen Fehler in Atlassian, der missbraucht werden konnte, um nicht autorisierte Confluence-Administratorkonten zu erstellen und auf Confluence-Server zuzugreifen.<\/p><p>Atlassian hat inzwischen eine zweite Schwachstelle namens <a href=\"https:\/\/thehackernews.com\/2023\/11\/experts-warn-of-ransomware-hackers.html\">CVE-2023-22518<\/a> offengelegt, die ein Angreifer ebenfalls ausnutzen kann, um ein betr\u00fcgerisches Administratorkonto einzurichten, was zu einem vollst\u00e4ndigen Verlust der Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit f\u00fchrt. Das Besondere an dem j\u00fcngsten Angriff ist, dass sich der Angreifer \u00fcber <a href=\"https:\/\/thehackernews.com\/2023\/10\/microsoft-warns-of-nation-state-hackers.html\">CVE-2023-22515<\/a> den ersten Zugriff verschaffte und eine neuartige Web-Shell einbettete, die dauerhaften Fernzugriff auf jede Webseite auf dem Server, einschlie\u00dflich der nicht authentifizierten Anmeldeseite, gew\u00e4hrt, ohne dass ein Zugriff bzw. g\u00fcltiges Benutzerkonto erforderlich ist . Die Web-Shell, die aus einem Loader und Payload besteht, ist passiv und l\u00e4sst Anfragen unbemerkt passieren, bis eine Anfrage bereitgestellt wird, die einem bestimmten Parameter entspricht. Anschlie\u00dfend l\u00f6st sie ihr b\u00f6sartiges Verhalten aus, indem sie eine Reihe von Aktionen ausf\u00fchrt. Dies umfasst das Erstellen eines neuen Administratorkontos, das L\u00f6schen von Protokollen, um die forensische Spur zu vertuschen, das Ausf\u00fchren beliebiger Befehle auf dem zugrunde liegenden Server, das Aufz\u00e4hlen, Lesen und L\u00f6schen von Dateien sowie das Zusammenstellen umfangreicher Informationen \u00fcber die Atlassian-Umgebung.<\/p>","protected":false},"excerpt":{"rendered":"<p>Cybersicherheitsforscher haben eine heimliche Hintert\u00fcr namens Effluence entdeckt, die nach der erfolgreichen Ausnutzung einer k\u00fcrzlich offengelegten Sicherheitsl\u00fccke im Atlassian Confluence Data Center und Server eingesetzt wird. \u201eDie Malware fungiert als dauerhafte Hintert\u00fcr und kann nicht durch die Anwendung von Patches auf Confluence behoben werden\u201c, sagte Stroz Friedberg Incident Response Services von Aon in einer Anfang&#8230;<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17],"tags":[],"class_list":["post-141","post","type-post","status-publish","format-standard","hentry","category-hackernews"],"_links":{"self":[{"href":"https:\/\/www.stoerti.com\/index.php\/wp-json\/wp\/v2\/posts\/141","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.stoerti.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.stoerti.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.stoerti.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.stoerti.com\/index.php\/wp-json\/wp\/v2\/comments?post=141"}],"version-history":[{"count":1,"href":"https:\/\/www.stoerti.com\/index.php\/wp-json\/wp\/v2\/posts\/141\/revisions"}],"predecessor-version":[{"id":142,"href":"https:\/\/www.stoerti.com\/index.php\/wp-json\/wp\/v2\/posts\/141\/revisions\/142"}],"wp:attachment":[{"href":"https:\/\/www.stoerti.com\/index.php\/wp-json\/wp\/v2\/media?parent=141"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.stoerti.com\/index.php\/wp-json\/wp\/v2\/categories?post=141"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.stoerti.com\/index.php\/wp-json\/wp\/v2\/tags?post=141"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}