Alert: ‘Effluence’ Backdoor Persists Despite Patching Atlassian Confluence Servers
2023/11/10 TheHackerNews — Effluence いうステルス性のバックドアを、サイバー・セキュリティ研究者たちが発見した。先日に公開された Atlassian Confluence Data Center/Server の脆弱性だが、その悪用に成功した攻撃者が、その後に Effluence を展開しているようだ。Aon の Incident Response Services に所属する Stroz Friedberg は、「このマルウェアは永続的なバックドアとして機能し、Confluence にパッチを適用しても修復されない」と、今週の初めに発表したレポートで述べている。
彼は、「このバックドアは、Confluence からのデータ流出に加えて、他のネットワーク・リソースへ向けた横方向の移動を可能にする。重要なのは、Confluenceでの認証を必要とせずに、リモートの攻撃者がバックドアにアクセスできる点だ」と指摘している。
このサイバー・セキュリティ団体により文書化された攻撃チェーンは、脆弱性 CVE-2023-22515 (CVSS: 10.0) の悪用を伴うものである。それにより、不正な Confluence 管理者アカウントが作成され、Confluence サーバへのアクセスで悪用される可能性が生じている。
その後に Atlassian は、2つ目の脆弱性 CVE-2023-22518 (CVSS: 10.0) も開示しており、その悪用に成功した攻撃者は、不正な管理者アカウントを設定し、機密性/完全性/可用性を侵害する可能性があるという。
今回の攻撃で際立っているのは、脆弱性 CVE-2023-22515 を介してイニシャル・アクセスを獲得した攻撃者にとって、正規のユーザー・アカウントは不要になる点である。つまり、認証されていないログイン・ページを含む、サーバー上の全ての Web ページへの永続的なリモート・アクセスを許可する、斬新な Web シェルが埋め込まれているのだ。
この Web シェルは、ローダーとペイロードで構成され、特定のパラメータに一致するリクエストが提供されるまで、誰にも気づかれることなくリクエストを通過させる。
その機能を構成するのは、新しい管理者アカウントの作成/フォレンジックの痕跡を隠すためのログ消去/基礎となるサーバ上での任意のコマンド実行/ファイルの列挙・読取・削除に加えて、Atlassian 環境に関する広範な情報の収集となる。
Aon は、「このローダー・コンポーネントは通常の Confluence プラグインとして動作し、ペイロードの解読と起動を担当する。また、Web シェル機能のいくつかは、Confluence 固有の API に依存している。このプラグインとローダーの仕組みは、一般的な Atlassian API だけに依存しているように見えるため、プラグインのインストールが可能な JIRA/Bitbucket などにも被害が拡大する可能性がある」と述べている。
Effluence バックドアは、なかなか手ごわいマルウェアのようですね。また、Atlassian Confluence Data Center/Server の脆弱性 CVE-2023-22515/CVE-2023-22518 に関しては、何本かの記事が示しているように、積極的な攻撃のターゲットにされているようです。収束が難しい問題に発展しそうな感じがします。
IoT OT Security News 
You must be logged in to post a comment.