Aktuelle Sicherheitslücke in Confluence

nw - 5 min read

Die von Atlassian am 26. August 2021 bekannt gegebene Sicherheitslücke in Confluence wurde in den letzten Tagen genutzt, um sich Zugang zu Systemen zu verschaffen, auf denen die betroffenen Confluence-Versionen laufen.

In den meisten Fällen haben Personen, die die Sicherheitslücke ausgenutzt haben, keine Daten gestohlen, sondern in einigen Fällen erfolgreich versucht, die Maschinen (Server, vms, etc.) als Krypto-Mining-Bots für ein Krypto-Mining-Bot-Netz zu nutzen.

Was ist Mining?

Um die Dinge zu vereinfachen, beschreibt der als "Mining" bezeichnete Vorgang das Erzeugen neuer Transaktionsblöcke zwischen den Mining-Bots. Die Währung wird also in einem Bot-Netz getauscht und der "Miner" erhält neu geschaffene Münzen. Diese Münzen können dann vom Miner zum persönlichen Gewinn verwendet werden, wenn er die Kryptowährung z.B. für den Kauf von Artikeln über das Internet nutzt. Diesen Vorgang bezeichnet man als crypto mining.

Wie funktioniert das Hacking?

Um Ihnen einen genaueren Einblick in den Hacking-Prozess zu geben, erklären wir das Vorgehen etwas detaillierter: Über eine OGNL-Injection kann bösartiger Code in eine Java-basierte Webanwendung oder Unternehmensumgebung injiziert werden. OGNL oder Object-Graph Navigation Language ist eine Open-Source-Ausdruckssprache für Java-Objekte. OGNL ermöglicht insbesondere die Auswertung von Expression Languages in Apache Struts, einem Framework zur Entwicklung von Java-Webanwendungen wie Jira oder Confluence. Die kritischsten Schwachstellen auf der Liste der Apache Struts CVEs, beziehen sich auf OGNL Expression Injection Angriffe, die die Auswertung von ungültigen Ausdrücken gegen den Value Stack ermöglichen. Das erlaubt einem Angreifer, Systemvariablen zu verändern oder einen beliebigen Code auszuführen.

Ein von einer böswilligen Person übergebener Code kann dann aus der Ferne ausgeführt werden. Das eingeschleuste Skript lädt dann ein anderes Skript herunter, welches über den Befehl -curl oder wget aus einer anderen Quelle übertragen wird. Sobald es heruntergeladen ist, führt es sich selbst aus und löscht alle Spuren der Installationsdaten. Auf diese Weise wird sichergestellt, dass seine Ausführung von Überwachungstools analysiert und verfolgt werden kann.

Der installierte Code nutzt die Crontab, eine Funktion für geplante Aufgaben, die die meisten Betriebssysteme mitbringen, und manipuliert die Crontab des Benutzers, um im Minutentakt Binärdateien von z. B. bash.givemexyz.in oder kdevtmpfsi herunterzuladen. Nachdem diese Binärdateien heruntergeladen wurden, beginnt der eigentliche Mining-Prozess.

In einigen Fällen wird das System nach bekannten Hosts und ssh-Schlüsseln durchsucht, um weitere Systeme zu infizieren.

Der Miner nutzt dann die gesamten Ressourcen des Systems, um Kryptowährungen zu erlangen.

Wie Sie bemerken, dass sich Zugang zu Ihrem System verschafft wurde:

Das offensichtlichste Anzeichen ist die konstante 100%ige Auslastung der CPU des Systems über einen längeren Zeitraum. Außerdem finden Sie verdächtige crontab-Einträge in /var/spool/cron/crontabs/. In den meisten Fällen wird die Confluence-Anwendung angehalten, aber es gibt einige wenige Confluence-Prozesse, die ohne die Java-Laufzeitumgebung laufen können. In der Regel wird der Miner Dateien in /tmp/ erzeugen und verwenden. In den meisten Fällen finden Sie in Ihrem System Kinsing-Dateien.

Wie venITure Ihnen hilft einen Missbrauch zu verhindern:

Um Missbrauch vorzubeugen, können Sie eine Inhalts-Sicherheitsrichtlinie aktivieren, um Cross-Site-Scripting, Clickjacking und andere Code-Injektionsangriffe zu verhindern, die aus der Ausführung bösartiger Inhalte im vertrauenswürdigen Webseitenkontext resultieren.

Implementierung von http-Headern wie 'Strict-transport-Security', 'Content-Security-Policy', 'X-Frame-Options', 'X-Content-Tpe-Options', 'Referrer-Policy'und 'Permissions-Policy'. Alle diese Header erzwingen Richtlinien, die den Zugriff auf die jeweiligen Ressourcen erheblich erschweren. Dies kann Hacker davon abhalten, Ihre Webanwendung zu missbrauchen, um sich Zugang zu Ihrem Server zu verschaffen.

Eine Web Application Firewall (WAF) ist eine spezielle Form der Anwendungsfirewall, die den HTTP-Verkehr zu und von einem Webdienst filtert, überwacht und blockiert. Durch die Überprüfung des HTTP-Verkehrs können Angriffe verhindert werden, die bekannte Schwachstellen einer Webanwendung ausnutzen, wie z. B. SQL-Injection, Cross-Site-Scripting (XSS), Dateieinbindung und unsachgemäße Systemkonfiguration.

Atlassian empfiehlt, Confluence auf die neueste und sicherste Version zu aktualisieren.

Wenn Sie weitere Fragen zum Thema haben oder Unterstützung bei der Umsetzung von Präventionsmaßnahmen benötigen,  kontaktieren Sie uns gerne. 

You might also be interested in the following

Mit unserem Blog halten wir Sie immer up-to-date und informieren Sie über die neusten Entwicklungen im Bereich Atlassian Tools
und Infobip Lösungen.
Aktuelle Sicherheitslücke in Confluence

Die von Atlassian am 26. August 2021 bekannt gegebene Sicherheitslücke in Confluence wurde in den letzten Tagen genutzt, um sich Zugang zu Systemen zu verschaffen, auf denen die betroffenen Confluence-Versionen laufen. In den meisten Fällen haben Personen, die die Sicherheitslücke ausgenutzt haben, keine Daten gestohlen, sondern in einigen Fällen erfolgreich versucht, die Maschinen (Server, vms, […]

venITure expandiert nach Dubai!

Wir freuen uns, Ihnen verkünden zu können, dass wir von nun an auch mit einem Standort in Dubai vertreten sind und mit der Eröffnung einen großen Meilenstein in der Unternehmensgeschichte erreichen konnten. Für die Realisierung der neuen Niederlassung wurden viele Monate für die Planung und Koordination investiert und Höhen und Tiefen durchlebt. Die Bemühungen des […]

LeasePlan Kundenprojekt Update: Einführung und Schulung von Jira und Confluence

Jira und Confluence Trainings für alle Anwender  Mit der erfolgreichen Migration aller Projekte aus den Microsoft Tools in Jira, erreichte das Projekt die finale Phase. Im Anschluss an die Migration in die Atlassian Cloud wurden alle User von LeasePlan durch venITure geschult.  In drei Trainingssessions schulte das venITure Team die Teilnehmer im Umgang mit den […]

Kontaktieren

crossmenu