Бэкдор Effluence: когда даже патчи бессильны перед вредоносным ПО

Специалисты в области кибербезопасности из подразделения Stroz Friedberg компании Aon выявили новую угрозу под названием Effluence, представляющую из себя бэкдор, работоспособность которого возможна благодаря недавно обнаруженным уязвимостям в системе Atlassian Confluence Data Center и Server.

Исследователи опубликовали подробный анализ , согласно которому вредоносный код Effluence действует как перманентный бэкдор и не устраняется даже после установки патчей для Confluence.

Effluence обеспечивает возможность перемещения по сети и извлечения данных из Confluence. Злоумышленники могут получить доступ к бэкдору удалённо, причём без необходимости проходить аутентификацию в целевой системе.

Исследователи подробно описали цепочку атаки, начавшуюся с использования уязвимости CVE-2023-22515 в Atlassian. Этот критический недостаток, впервые раскрытый в начале октября , позволяет создавать неавторизованные учётные записи администратора Confluence и получать доступ к серверам.

Вскоре после этого в Atlassian была обнаружена и вторая уязвимость, CVE-2023-22518 , также позволяющая злоумышленникам создавать поддельные аккаунты администратора, что потенциально может привести к полной потере конфиденциальности и легкодоступности данных.

В рамках последней атаки, рассмотренной в Stroz Friedberg, злоумышленники получили первоначальный доступ через CVE-2023-22515, после чего внедрили новую веб-оболочку, обеспечивающую постоянный удалённый доступ ко всем веб-страницам сервера, включая страницу входа без аутентификации.

Веб-оболочка, состоящая из загрузчика и полезной нагрузки, является пассивной, позволяя запросам проходить через неё незамеченными до тех пор, пока не будет предоставлен запрос, соответствующий определённому параметру.

После этого запускаются вредоносные действия, включающие создание нового административного аккаунта, выполнение произвольных команд на сервере, перечисление, чтение и удаление файлов, сбор обширной информации о среде Atlassian, а также стирание логов для сокрытия следов активности.

По данным Stroz Friedberg, вышеописанный загрузчик действует как обычный плагин Confluence и отвечает за расшифровку и запуск полезной нагрузки. Хотя некоторые функции веб-оболочки зависят конкретно от API Confluence, механизм загрузчика и плагина, по-видимому, основан на общих API Atlassian и потенциально применим к JIRA, Bitbucket и другим продуктам Atlassian, где злоумышленник сможет установить плагин.