روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ زمان خوبی برای آپدیت کردن مرکز داده و همچنین سرور Confluence است: Confluence حاوی آسیب‌پذیری جدی‌ای است که ایجاد اکانت‌های غیرقانون ادمین را موجب می‌شود. با ما همراه باشید تا ضمن بررسی این آسیب‌پذیری، راهکاری برای تقویت زیرساخت‌تان ارائه دهیم.

این اواخر، CISA، FBI و MS-ISAC از همه سازمان‌هایی که از مرکز داده و سرور Confluence استفاده می‌کنند خواسته‌اند به دلیل آسیب‌پذیریِ بزرگی که مشاهده‌شده نرم‌افزار خود را فوراً آپدیت کنند. در ادامه توضیح خواهیم داد مشکل از چیست و چرا این خواسته از سوی عاملین مذکور به جا و درست بوده است.

CVE-2023-22515 در Confluence Data Center and Confluence Server

آسیب‌پذیری مربوطه با نام CVE-2023-22515 بالاترین امتیاز تهدید CVSS 3.0 را از 10.0 گرفته و نیز «بحرانی» برچسب خورده است. این آسیب‌پذیری به مهاجم اجازه می‌دهد حتی اگر احراز هویت نشده باشد هم پروسه پیکربندی سرور را ریستارت کند. با اکسپلویت CVE-2023-22515 آن‌ها می‌توانند روی سرور آسیب‌پذیر Confluence اکانت‌هایی با حقوق ادمین بسازند.

فقط سازمان‌هایی که از مرکز داده Atlassian Confluence و سرور Confluence استفاده می‌کنند در معرض خطر هستند. مشتریان Confluence Cloud تحت‌الشعاع قرار نخواهند گرفت. این آسیب‌پذیری همچنین نسخه‌های Confluence Data Center and Confluence Server قبل از 8.0.0 را تحت تأثیر قرار نمی‌دهد. در زیر طبق Atlassian لیست کاملی داریم از نسخه‌های آسیب‌پذیر:

• 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4
• 8.1.0, 8.1.1, 8.1.3, 8.1.4
• 8.2.0, 8.2.1, 8.2.2, 8.2.3
• 8.3.0, 8.3.1, 8.3.2
• 8.4.0, 8.4.1, 8.4.2
• 8.5.0, 8.5.1

اکسپلویت درفضای بیرون و PoC روی گیت‌هاب

مشکل اصلی این است که اکسپلویت این آسیب‌پذیری بسیار آسان است. اگر این حقیقت را هم که یک حمله موفقیت آمیز به سرور آسیب پذیر نیازی به دسترسی به یک حساب کاربری در آن ندارد -که به طور قابل توجهی دامنه فعالیت مهاجم را گسترش می دهد- مد نظر قرار دهیم اوضاع حتی بدتر هم می‌شود. ویژگی کلیدی این حمله این است که نسخه‌های آسیب‌پذیر Confluence Data Center و Confluence Server به مهاجمین اجازه می‌دهند تا بدون احراز هویت روی سرور، مقدار ویژگی bootstrapStatusProvider.applicationConfig.setupComplete را به false تغییر دهند. با انجام این کار، آنها مرحله راه اندازی سرور را مجدداً شروع و می توانند اکانت‌های ادمین خود را ایجاد کنند.

در نظر داشته باشید که این فقط یک تئوری نیست - حملات واقعی همین الانش هم اجرا شده‌اند. یک هفته پس از انتشار عمومی اطلاعات مربوط به CVE-2023-22515، تیم مایکروسافت Threat Intelligence یک گروه APT را مشاهده کرد که این آسیب‌پذیری را اکسپلویت  می‌کند.

همانطور که در بالا ذکر شد، اکسپلویت این آسیب پذیری در مرکز داده Confluence و سرور Confluence بسیار آسان است. این بدان معنی است که نه تنها هکرهای APT بسیار ماهر می توانند از آن سوء استفاده کنند، بلکه انجام این کار حتی بچه‌های مدرسه ای نیز مثل آب خوردن است. یک اکسپلویت اثبات مفهوم برای CVE-2023-22515 قبلاً در گیت‌هاب ظاهر شده است تکمیل‌شده با یک اسکریپت پایتون برای اکسپلویت آسان در مقیاس انبوه: تنها کاری که مهاجم باید انجام دهد این است که لیستی از آدرس های سرور هدف را وارد کند.

چطور در برابر CVE-2023-22515 از زیرساخت خود مراقبت کنیم؟

در صورت امکان، باید Confluence Data Center or Confluence Server را به نسخه‌ای با آسیب‌پذیری‌ای که از قبل پچ شده (8.3.3، 8.4.3، 8.5.2) یا آخرین نسخه داخل همان شعبه به روز کرد. اگر آپدیت برایتان مقدور نیست، توصیه می‌شود سرورهای آسیب‌پذیر Confluence را از دسترسی عمومی بردارید؛ بدین‌معنا که دسترسی به آن‌ها را از شبکه‌های خارجی تا وقتی آپدیت نصب نشده قطع کنید. اگر این کار هم نمی‌تواند انجام شود، می‌شود اقدامی موقتی انجام داد: بلاک کردن دسترسی به صفحات پیکربندی. اما باید این را به یاد داشت که این گزینه نیاز به آپدیت Confluence Data Center or Confluence Server را از بین نمی‌برد فقط موقتاً بردار حمله شناخته‌شده را خنثی می‌کند. افزون بر این، توصیه ما به سازمان‌هایی که هم از Confluence Data Center و Confluence Server استفاده می‌کنند این است که چک کنند ببینند آیا این آسیب‌پذیری از قبل در حملاتی علیه آن‌ها استفاده شده است یا نه. برخی شاخص‌های اکسپلویت  CVE-2023-22515 عبارتند از:

•         اعضای مشکوک جدید گروه confluence-administrators 
•         اکانت‌های کاربری تازه ساخته‌شده‌ی غیرمنتظره
•         درخواست /setup/*.action در لاگ‌های دسترسی شبکه
•         حضور  /setup/setupadministrator.action در یک پیام استثنادر لاگ امنیتی atlassian-confluence در هوم دایرکتوری Confluence

در نظر داشته باشید که تحت کنترل درآوردن  Confluence از طریق اکسپلویت CVE-2023-22515 بعید است هدف اصلی مهاجمین باشد. در عوض، احتمالاً حکم پایگاهی را دارد که قرار است حملات بعدی روی سیستم‌های اطلاعاتی شرکت از آنجا انجام شود. برای نظارت بر فعالیت مشکوک در زیرساخت سازمانی، از راهکار EDR (شناسایی و واکنش به اندپوینت) استفاده کنید. اگر تیم امنیت اطلاعات درون‌سازمانی‌تان منابع کافی در اختیار ندارند می‌توانید این کار را به سرویس خارجی برون‌سپاری کنید که به طور مستمر دنبال تهدیدهایی هستند که هدف‌شان سازمان شماست و واکنش به موقع به آن‌ها.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.