تنبيه: يستمر الباب الخلفي على الرغم من حل مشكلة خوادم التقاء Atlassian. اكتشف الباحثون الأمنيون بابًا خلفيًا خفيًا يسمى Effluence يتم نشره بعد استغلال ثغرة أمنية تم الكشف عنها مؤخرًا في Atlassian Confluence Data Center and Server بنجاح.
لا يتم إصلاح البرامج الضارة من خلال تطبيق التصحيحات على Confluence ، وفقًا لما ذكرته شركة Stroz Friedberg Incident Response Services التابعة لشركة Aon في تحليل نُشر في وقت سابق من هذا الأسبوع.
يوفر الباب الخلفي القدرة على التحرك الجانبي إلى موارد الشبكة الأخرى بالإضافة إلى استخراج البيانات من Confluence. من المهم ملاحظة أن المهاجمين يمكنهم الوصول إلى الباب الخلفي عن بُعد دون مصادقة على Confluence.
اشتملت سلسلة الهجمات التي وثقتها هيئة الأمن السيبراني على استغلال CVE-2023-22515 (درجة CVSS: 10.0). وهو خطأ حرج في Atlassian يمكن استغلاله لإنشاء حسابات مسؤول Confluence غير المصرح بها والوصول إلى خوادم Confluence.
كشفت Atlassian.
منذ ذلك الحين عن ثغرة ثانية تعرف باسم CVE-2023-22518 (درجة CVSS: 10.0) يمكن للمهاجم أيضًا الاستفادة منها لإعداد حساب مسؤول احتيالي. مما يؤدي إلى فقدان تام للسرية والنزاهة والتوافر.
ما يجعل الهجوم الأخير بارزًا هو أن المهاجم حصل على وصول أولي عبر CVE-2023-22515 وقام بتضمين غلاف ويب جديد يمنح وصولاً عن بُعد مستمرًا إلى كل صفحة ويب على الخادم ، بما في ذلك صفحة تسجيل الدخول غير المصادق عليها ، دون الحاجة إلى حساب مستخدم صالح.
غلاف الويب. الذي يتكون من محمل ونافع. سلبي. مما يسمح للطلبات بالمرور من خلاله دون ملاحظة حتى يتم توفير طلب يطابق معلمة محددة. وفي هذه المرحلة يقوم بتشغيل سلوكه الضار عن طريق تنفيذ سلسلة من الإجراءات.
يتضمن ذلك إنشاء حساب مسؤول جديد. وتطهير السجلات لتغطية المسار الجنائي. وتشغيل الأوامر التعسفية على الخادم الأساسي. وحصر الملفات وقراءتها وحذفها. وتجميع معلومات شاملة حول بيئة Atlassian.
يعمل مكون المحمل. وفقًا لشركة Aon. كإضافة Confluence عادية وهو مسؤول عن فك تشفير الحمولة وتشغيلها.
كما. قال الباحث الأمني Zachary Reichert: “تعتمد العديد من وظائف غلاف الويب على واجهات برمجة تطبيقات خاصة بـ Confluence”.
ومع ذلك. يبدو أن المكون الإضافي وآلية التحميل تعتمدان فقط على واجهات برمجة تطبيقات Atlassian الشائعة وقد تكونان قابلتين للتطبيق على JIRA أو Bitbucket أو منتجات Atlassian الأخرى حيث يمكن للمهاجم تثبيت المكون الإضافي.
تنبيه: يستمر الباب الخلفي على الرغم من حل مشكلة خوادم التقاء Atlassian. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.