Descrizione e potenziali impatti
TrendMicro ha recentemente rilevato una campagna di attacchi volta a diffondere miner di criptovaluta su sistemi basati su Linux e Windows, sfruttando la CVE-2021-26084 – di tipo OGNL (Object-Graph Navigation Language) injection – presente nel modulo Webwork dei prodotti Atlassian Confluence Server e Data Center.
Nel dettaglio, un utente malintenzionato remoto potrebbe sfruttare la vulnerabilità, dovuta a una validazione errata da parte del parser di comandi non autorizzati inseriti all’interno di espressioni OGNL, inviando richieste HTTP con parametri dannosi opportunamente predisposti verso server vulnerabili al fine di eseguire codice arbitrario sui dispositivi target.
Dalle analisi è stata evidenziata la diffusione sui dispositivi infettati di diversi malware, tra cui il trojan z0Miner, opportuni payload (reverse shell e webshell) per il mantenimento della persistenza, miner di criptovaluta come XMRig e opportuni script per le fasi di post-exploitation.
Per ulteriori approfondimenti si consiglia di consultare l’analisi tecnica di TrendMicro, disponibile nella sezione Riferimenti.
Azioni di Mitigazione
In linea con le dichiarazioni del vendor e ove non già provveduto, si consiglia di implementare le azioni di mitigazione indicate nel bollettino di sicurezza di Atlassian, disponibile nella sezione Riferimenti.
Si consiglia inoltre di verificare l’eventuale presenza di evidenze di compromissione sui propri apparati monitorando le richieste HTTP le cui URI contengano i seguenti parametri:
URI
Parametro
/users/darkfeatures.action
featureKey
/users/enabledarkfeature.action
featureKey
/users/disabledarkfeature.action
featureKey
/login.action
token
/dologin.action
token
/signup.action
token
/dosignup.action
token
/pages/createpage-entervariables.action
queryString, linkCreation
/pages/doenterpagevariables.action
queryString
/pages/createpage.action
queryString
/pages/createpage-choosetemplate.action
queryString
/pages/docreatepagefromtemplate.action
queryString
/pages/docreatepage.action
queryString
/pages/createblogpost.action
queryString
/pages/docreateblogpost.action.
queryString
/pages/copypage.action
queryString
/pages/docopypage.action
queryString
/plugins/editor-loader/editor.action
syncRev
Qualora presenti, verificare se il valore di uno dei parametri vulnerabili contenga la stringa “\u0027” in chiaro o codificata: in tal caso, il traffico deve essere considerato malevolo.
Riferimenti
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
