- infoCOM.UZ - http://infocom.uz -

Киберпреступники взламывают серверы через уязвимость в Atlassian Confluence Server

Критическая уязвимость в Atlassian Confluence Server активно эксплуатируется киберпреступниками для удаленного взлома Linux- и Windows-серверов. На скомпрометированные серверы злоумышленники устанавливают вымогательское ПО GandCrab и троян Dofloo (другие названия AES.DDoS и Mr. Black).

Речь идет об уязвимости внедрения шаблонов (template injection) в Widget Connector (CVE-2019-3396), позволяющей удаленному атакующему осуществить обход каталога и выполнить произвольный код на установках Confluence Server или Data Center.

Как сообщает [1] исследователь безопасности Аугусто Ремиллано (Augusto II Remillano) из компании Trend Micro, производитель выпустил патч для уязвимости 20 марта нынешнего года и настоятельно рекомендовал пользователям его установить.

В настоящее время для уязвимости доступно множество эксплоитов. Первый появился 10 апреля, и киберпреступники сразу же добавили его в свой арсенал. Начались массовые сканирования в поисках уязвимых установок Confluence Server и Data Center с целью заражения их вымогательским ПО GandCrab.

Скомпрометировав сервер, злоумышленники загружают с подконтрольной им машины набор инструментов Empire PowerShell, с помощью которого загружают заархивированную версию GandCrab. По данным специалистов из Alert Logic, для обхода обнаружения используется CertUtil LOLBin.

Через уязвимость CVE-2019-3396 злоумышленники также устанавливают вредоносное ПО Dofloo. Вредонос позволяет объединять большое количество взломанных серверов в ботнеты для DDoS-атак (с применением SYN, LSYN, UDP, UDPS и TCP-флуда) и майнинга криптовалюты.

Источник [2]