Vulnerabilità in Atlassian Confluence sfruttata per distribuire miner di criptovaluta

Descrizione e potenziali impatti

TrendMicro ha recentemente rilevato una campagna di attacchi volta a diffondere miner di criptovaluta su sistemi basati su Linux e Windows, sfruttando la CVE-2021-26084 – di tipo OGNL (Object-Graph Navigation Language) injection – presente nel modulo Webwork dei prodotti Atlassian Confluence Server e Data Center.

Nel dettaglio, un utente malintenzionato remoto potrebbe sfruttare la vulnerabilità, dovuta a una validazione errata da parte del parser di comandi non autorizzati inseriti all’interno di espressioni OGNL, inviando richieste HTTP con parametri dannosi opportunamente predisposti verso server vulnerabili al fine di eseguire codice arbitrario sui dispositivi target.

Dalle analisi è stata evidenziata la diffusione sui dispositivi infettati di diversi malware, tra cui il trojan z0Miner, opportuni payload (reverse shell e webshell) per il mantenimento della persistenza, miner di criptovaluta come XMRig e opportuni script per le fasi di post-exploitation.

Per ulteriori approfondimenti si consiglia di consultare l’analisi tecnica di TrendMicro, disponibile nella sezione Riferimenti.

Azioni di Mitigazione

In linea con le dichiarazioni del vendor e ove non già provveduto, si consiglia di implementare le azioni di mitigazione indicate nel bollettino di sicurezza di Atlassian, disponibile nella sezione Riferimenti.

Si consiglia inoltre di verificare l’eventuale presenza di evidenze di compromissione sui propri apparati monitorando le richieste HTTP le cui URI contengano i seguenti parametri:

URI                             

Parametro

/users/darkfeatures.action

featureKey

/users/enabledarkfeature.action

featureKey

/users/disabledarkfeature.action

featureKey

/login.action

token

/dologin.action

token

/signup.action

token

/dosignup.action

token

/pages/createpage-entervariables.action

queryString, linkCreation

/pages/doenterpagevariables.action

queryString

/pages/createpage.action

queryString

/pages/createpage-choosetemplate.action

queryString

/pages/docreatepagefromtemplate.action

queryString

/pages/docreatepage.action

queryString

/pages/createblogpost.action

queryString

/pages/docreateblogpost.action.

queryString

/pages/copypage.action

queryString

/pages/docopypage.action

queryString

/plugins/editor-loader/editor.action

syncRev

Qualora presenti, verificare se il valore di uno dei parametri vulnerabili contenga la stringa “\u0027” in chiaro o codificata: in tal caso, il traffico deve essere considerato malevolo.

Riferimenti

https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

https://jira.atlassian.com/browse/CONFSERVER-67940

https://www.zerodayinitiative.com/blog/2021/9/21/cve-2021-26084-details-on-the-recently-exploited-atlassian-confluence-ognl-injection-bug