Recent, un atac cibernetic sofisticat a utilizat o vulnerabilitate critică în Confluence, platforma dezvoltată de Atlassian, ducând la implementarea rapidă a ransomware-ului LockBit. Exploatarea vulnerabilității CVE-2023-22527 a permis atacatorilor să compromită rețelele în mai puțin de două ore de la accesul inițial.
TLDR:
- Vulnerabilitatea în Confluence (CVE-2023-22527) a fost exploatată pentru a distribui ransomware LockBit Black.
- Exploatarea a implicat mai multe etape, inclusiv furtul de date și mișcarea laterală prin RDP.
- PDQ Deploy a fost folosit pentru distribuirea automată a ransomware-ului.
- Subliniază nevoia urgentă de actualizări ale serverelor Confluence și de monitorizare în timp real a punctelor terminale.
Cum a fost exploatată vulnerabilitatea
Atacul a început cu exploatarea unui defect server-side template injection pe partea serverului (CVE-2023-22527) în Confluence, permițând executarea de cod la distanță (RCE) de către atacatori fără autentificare. Aceștia au injectat expresii OGNL malițioase prin cereri HTTP POST, obținând control asupra serverului sub contul NETWORK SERVICE.
Mișcarea laterală și escaladarea
Odată obținut accesul, atacatorii au utilizat instrumente ca PDQ Deploy pentru distribuirea ransomware-ului, demonstrând o foarte bună orchestrare a atacului. Mișcarea laterală a fost facilitată de utilizarea serviciului RDP, iar pentru menținerea accesului, au folosit programe precum AnyDesk. Analistul de securitate The DFIR Report a observat execuția scripturilor prin utilizarea Python, dedusă prin jurnalizarea User-Agent.
Deplasarea către ransomware
După compromiterea sistemului, apărătorii au fost dezactivați și jurnalele de securitate au fost șterse. LockBit a fost inițializat rapid pe dispozitivele din rețea, criptând datele și modificând tapetul desktop-ului cu imagini specifice LockBit.
Concluzii și prevenție
Incidentul relevă vulnerabilitatea infrastructurilor IT moderne la atacuri bine coordonate. Este esențială aplicarea rapidă a patch-urilor și o gestionare stringentă a accesului la distanță. Utilizatorii pot preveni astfel de atacuri prin actualizări regulate ale software-ului și prin implementarea unor politici stricte de securitate la nivel de rețea. Specialiștii subliniază importanța igienei credentialelor și monitorizării în timp real a sistemelor finale.
Sursa articolului:
https://cybersecuritynews.com/hackers-exploited-confluence-server-to-deploy-lockbit/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
