Aktuelle Sicherheitslücke in Confluence

nw - 5 min read

Die von Atlassian am 26. August 2021 bekannt gegebene Sicherheitslücke in Confluence wurde in den letzten Tagen genutzt, um sich Zugang zu Systemen zu verschaffen, auf denen die betroffenen Confluence-Versionen laufen.

In den meisten Fällen haben Personen, die die Sicherheitslücke ausgenutzt haben, keine Daten gestohlen, sondern in einigen Fällen erfolgreich versucht, die Maschinen (Server, vms, etc.) als Krypto-Mining-Bots für ein Krypto-Mining-Bot-Netz zu nutzen.

Was ist Mining?

Um die Dinge zu vereinfachen, beschreibt der als "Mining" bezeichnete Vorgang das Erzeugen neuer Transaktionsblöcke zwischen den Mining-Bots. Die Währung wird also in einem Bot-Netz getauscht und der "Miner" erhält neu geschaffene Münzen. Diese Münzen können dann vom Miner zum persönlichen Gewinn verwendet werden, wenn er die Kryptowährung z.B. für den Kauf von Artikeln über das Internet nutzt. Diesen Vorgang bezeichnet man als crypto mining.

Wie funktioniert das Hacking?

Um Ihnen einen genaueren Einblick in den Hacking-Prozess zu geben, erklären wir das Vorgehen etwas detaillierter: Über eine OGNL-Injection kann bösartiger Code in eine Java-basierte Webanwendung oder Unternehmensumgebung injiziert werden. OGNL oder Object-Graph Navigation Language ist eine Open-Source-Ausdruckssprache für Java-Objekte. OGNL ermöglicht insbesondere die Auswertung von Expression Languages in Apache Struts, einem Framework zur Entwicklung von Java-Webanwendungen wie Jira oder Confluence. Die kritischsten Schwachstellen auf der Liste der Apache Struts CVEs, beziehen sich auf OGNL Expression Injection Angriffe, die die Auswertung von ungültigen Ausdrücken gegen den Value Stack ermöglichen. Das erlaubt einem Angreifer, Systemvariablen zu verändern oder einen beliebigen Code auszuführen.

Ein von einer böswilligen Person übergebener Code kann dann aus der Ferne ausgeführt werden. Das eingeschleuste Skript lädt dann ein anderes Skript herunter, welches über den Befehl -curl oder wget aus einer anderen Quelle übertragen wird. Sobald es heruntergeladen ist, führt es sich selbst aus und löscht alle Spuren der Installationsdaten. Auf diese Weise wird sichergestellt, dass seine Ausführung von Überwachungstools analysiert und verfolgt werden kann.

Der installierte Code nutzt die Crontab, eine Funktion für geplante Aufgaben, die die meisten Betriebssysteme mitbringen, und manipuliert die Crontab des Benutzers, um im Minutentakt Binärdateien von z. B. bash.givemexyz.in oder kdevtmpfsi herunterzuladen. Nachdem diese Binärdateien heruntergeladen wurden, beginnt der eigentliche Mining-Prozess.

In einigen Fällen wird das System nach bekannten Hosts und ssh-Schlüsseln durchsucht, um weitere Systeme zu infizieren.

Der Miner nutzt dann die gesamten Ressourcen des Systems, um Kryptowährungen zu erlangen.

Wie Sie bemerken, dass sich Zugang zu Ihrem System verschafft wurde:

Das offensichtlichste Anzeichen ist die konstante 100%ige Auslastung der CPU des Systems über einen längeren Zeitraum. Außerdem finden Sie verdächtige crontab-Einträge in /var/spool/cron/crontabs/. In den meisten Fällen wird die Confluence-Anwendung angehalten, aber es gibt einige wenige Confluence-Prozesse, die ohne die Java-Laufzeitumgebung laufen können. In der Regel wird der Miner Dateien in /tmp/ erzeugen und verwenden. In den meisten Fällen finden Sie in Ihrem System Kinsing-Dateien.

Wie venITure Ihnen hilft einen Missbrauch zu verhindern:

Um Missbrauch vorzubeugen, können Sie eine Inhalts-Sicherheitsrichtlinie aktivieren, um Cross-Site-Scripting, Clickjacking und andere Code-Injektionsangriffe zu verhindern, die aus der Ausführung bösartiger Inhalte im vertrauenswürdigen Webseitenkontext resultieren.

Implementierung von http-Headern wie 'Strict-transport-Security', 'Content-Security-Policy', 'X-Frame-Options', 'X-Content-Tpe-Options', 'Referrer-Policy'und 'Permissions-Policy'. Alle diese Header erzwingen Richtlinien, die den Zugriff auf die jeweiligen Ressourcen erheblich erschweren. Dies kann Hacker davon abhalten, Ihre Webanwendung zu missbrauchen, um sich Zugang zu Ihrem Server zu verschaffen.

Eine Web Application Firewall (WAF) ist eine spezielle Form der Anwendungsfirewall, die den HTTP-Verkehr zu und von einem Webdienst filtert, überwacht und blockiert. Durch die Überprüfung des HTTP-Verkehrs können Angriffe verhindert werden, die bekannte Schwachstellen einer Webanwendung ausnutzen, wie z. B. SQL-Injection, Cross-Site-Scripting (XSS), Dateieinbindung und unsachgemäße Systemkonfiguration.

Atlassian empfiehlt, Confluence auf die neueste und sicherste Version zu aktualisieren.

Wenn Sie weitere Fragen zum Thema haben oder Unterstützung bei der Umsetzung von Präventionsmaßnahmen benötigen,  kontaktieren Sie uns gerne. 

Das könnte Ihnen auch gefallen

Mit unserem Blog halten wir Sie immer up-to-date und informieren Sie über die neusten Entwicklungen im Bereich Atlassian Tools
und Infobip Lösungen.
Wichtige Atlassian Preisänderungen für Bestandskunden

Atlassian hat eine Preiserhöhungen des Advantaged Pricing Plans für Server und Data Center angekündigt, welche mit Wirkung zum 15.02.2022 in Kraft treten soll. In diesem Beitrag erfahren Sie, welche Veränderungen Sie erwarten und wie Sie auf diese reagieren können.   Welche Preisveränderungen werden eintreffen? Preiserhöhungen für Server und Data Center Produkte im Advantaged Pricing Plan […]

venITure sponsert Atlassian Team'22!

Bald ist es endlich soweit: Atlassian Team'22 (früher bekannt als Atlassian Summit) wird nach aktuellem Stand im April diesen Jahres als persönliches Event in Las Vegas stattfinden! Wir freuen uns riesig, gemeinsam mit weiteren tollen Partnern als Sponsor ein Teil des diesjährigen Events zu sein! Das Event bietet großartige Möglichkeiten mit allen Partnern und Gleichdenkenden […]

Jira Align Update: Verbessertes OKR Benutzererlebnis

Heute wurde das neue OKR-Benutzererlebnis in Jira Align offiziell von Atlassian veröffentlicht. Mit der aktualisierten Version (10.104) wurde eine völlig neue und verbesserte visuelle Darstellung der Objective Trees realisiert. Die neue Umgebung bietet einige hilfreiche Funktionen und Darstellungen, welche dem User auf den ersten Blick wertvolle und aufschlussreiche Informationen bieten. Warum die visuelle Darstellung der […]

Experten kontaktieren

Kontakt

crossmenu