Cybersecurity-onderzoekers hebben een sluipende achterdeur ontdekt met de naam Effluent die is geïmplementeerd na de succesvolle exploitatie van een onlangs bekendgemaakt beveiligingslek in het Atlassian Confluence Data Center and Server.
“De malware fungeert als een hardnekkige achterdeur en wordt niet verholpen door patches op Confluence toe te passen”, aldus Stroz Friedberg Incident Response Services van Aon in een eerder deze week gepubliceerde analyse.
“De achterdeur biedt mogelijkheden voor zijdelingse verplaatsing naar andere netwerkbronnen naast het exfiltreren van gegevens uit Confluence. Belangrijk is dat aanvallers op afstand toegang kunnen krijgen tot de achterdeur zonder zich te hoeven authenticeren bij Confluence.”
De door de cyberbeveiligingsentiteit gedocumenteerde aanvalsketen omvatte de exploitatie van CVE-2023-22515 (CVSS-score: 10,0), een kritieke bug in Atlassian die kan worden misbruikt om ongeautoriseerde Confluence-beheerdersaccounts te maken en toegang te krijgen tot Confluence-servers.
Atlassian heeft sindsdien een tweede fout onthuld, bekend als CVE-2023-22518 (CVSS-score: 10,0), waarvan een aanvaller ook kan profiteren door een frauduleus beheerdersaccount aan te maken, wat resulteert in een volledig verlies van vertrouwelijkheid, integriteit en beschikbaarheid.
Wat de nieuwste aanval zo bijzonder maakt, is dat de tegenstander in eerste instantie toegang heeft gekregen via CVE-2023-22515 en een nieuwe webshell heeft ingebouwd die permanente externe toegang verleent tot elke webpagina op de server, inclusief de niet-geauthenticeerde inlogpagina, zonder de noodzaak van een geldig gebruikersaccount.
De webshell, bestaande uit een lader en een payload, is passief, waardoor verzoeken er onopgemerkt doorheen kunnen gaan totdat een verzoek wordt gegeven dat overeenkomt met een specifieke parameter. Op dat moment activeert het zijn kwaadaardige gedrag door een reeks acties uit te voeren.
Dit omvat het aanmaken van een nieuw beheerdersaccount, het opschonen van logbestanden om het forensische spoor te verbergen, het uitvoeren van willekeurige opdrachten op de onderliggende server, het opsommen, lezen en verwijderen van bestanden, en het verzamelen van uitgebreide informatie over de Atlassian-omgeving.
De loadercomponent fungeert volgens Aon als een normale Confluence-plug-in en is verantwoordelijk voor het decoderen en starten van de payload.
“Verschillende webshell-functies zijn afhankelijk van Confluence-specifieke API’s”, zegt beveiligingsonderzoeker Zachary Reichert.
“De plug-in en het laadmechanisme lijken echter alleen afhankelijk te zijn van gewone Atlassian API’s en zijn mogelijk toepasbaar op JIRA, Bitbucket of andere Atlassian-producten waar een aanvaller de plug-in kan installeren.”
