{"id":19600,"date":"2022-06-03T19:12:53","date_gmt":"2022-06-03T22:12:53","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19600"},"modified":"2022-06-03T19:12:54","modified_gmt":"2022-06-03T22:12:54","slug":"vulnerabilidade-zero-day-do-critical-atlassian-confluence-sem-correcao","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/06\/basico\/vulnerabilidade-zero-day-do-critical-atlassian-confluence-sem-correcao\/","title":{"rendered":"Vulnerabilidade Zero-Day do Critical Atlassian Confluence sem corre\u00e7\u00e3o"},"content":{"rendered":"\n<h1 class=\"story-title\"><span>Hackers explorando a vulnerabilidade de Zero-Day do Critical Atlassian Confluence sem corre\u00e7\u00e3o<\/span><\/h1>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"goog-text-highlight\">A Atlassian alertou sobre uma vulnerabilidade cr\u00edtica de execu\u00e7\u00e3o remota de c\u00f3digo n\u00e3o corrigida que afeta os produtos Confluence Server e Data Center, que segundo ela est\u00e3o sendo ativamente explorados na natureza.<\/span><\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A empresa de software australiana creditou a empresa de seguran\u00e7a cibern\u00e9tica Volexity por identificar a falha, que est\u00e1 sendo rastreada como <\/span>CVE-2022-26134<span> .<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;A Atlassian foi informada da atual explora\u00e7\u00e3o ativa de uma vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo n\u00e3o autenticado de gravidade cr\u00edtica no Confluence Data Center and Server&#8221;, informou <\/span><span>em um comunicado.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;Atualmente, n\u00e3o h\u00e1 vers\u00f5es fixas do Confluence Server e Data Center dispon\u00edveis. A Atlassian est\u00e1 trabalhando com a mais alta prioridade para emitir uma corre\u00e7\u00e3o.&#8221; Os detalhes da falha de seguran\u00e7a foram retidos at\u00e9 que um patch de software esteja dispon\u00edvel.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"\">Todas as vers\u00f5es com suporte do Confluence Server e Data Center s\u00e3o afetadas, embora seja esperado que todas as vers\u00f5es da solu\u00e7\u00e3o corporativa sejam potencialmente vulner\u00e1veis. <\/span>A primeira vers\u00e3o impactada ainda n\u00e3o foi determinada.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Na aus\u00eancia de uma corre\u00e7\u00e3o, a Atlassian est\u00e1 pedindo aos clientes que restrinjam as inst\u00e2ncias do Confluence Server e do Data Center da Internet ou considerem desabilitar as inst\u00e2ncias completamente. Como alternativa, recomendou a implementa\u00e7\u00e3o de uma regra de firewall de aplicativo da Web (WAF) que bloqueia URLs contendo &#8220;${&#8221; para reduzir o risco.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A Volexity, em uma divulga\u00e7\u00e3o independente, informou que detectou a atividade no fim de semana do Memorial Day nos EUA como parte de uma investiga\u00e7\u00e3o de resposta a incidentes.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A cadeia de ataque envolveu o aproveitamento da explora\u00e7\u00e3o de Zero-Day do Atlassian, uma vulnerabilidade de inje\u00e7\u00e3o de comando para obter a execu\u00e7\u00e3o remota de c\u00f3digo n\u00e3o autenticado no servidor, permitindo que o agente da amea\u00e7a usasse o ponto de apoio para descartar o shell da Web do Behinder.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>&#8221; <\/span><span>O Behinder<\/span><span> fornece recursos muito poderosos para invasores, incluindo webshells somente de mem\u00f3ria e suporte integrado para intera\u00e7\u00e3o com Meterpreter e Cobalt Strike&#8221;, informaram<\/span><span> os pesquisadores . <span class=\"\">&#8220;Ao mesmo tempo, n\u00e3o permite persist\u00eancia, o que significa que uma reinicializa\u00e7\u00e3o ou reinicializa\u00e7\u00e3o do servi\u00e7o o eliminar\u00e1.&#8221;<\/span><\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Posteriormente, o shell da web teria sido empregado como um canal para implantar dois shells da web adicionais no disco, incluindo o <\/span><span>China Chopper<\/span><span> e um shell de upload de arquivo personalizado para exfiltrar arquivos arbitr\u00e1rios para um servidor remoto.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O desenvolvimento ocorre menos de um ano depois que outra falha cr\u00edtica de execu\u00e7\u00e3o remota de c\u00f3digo no Atlassian Confluence ( <\/span><span>CVE-2021-26084<\/span><span> , pontua\u00e7\u00e3o CVSS: 9,8) foi ativamente armada para instalar mineradores de criptomoedas em servidores comprometidos.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;Ao explorar esse tipo de vulnerabilidade, os invasores podem obter acesso direto a sistemas e redes altamente confidenciais&#8221;, disse Volexity. &#8220;Al\u00e9m disso, esses sistemas podem ser dif\u00edceis de investigar, pois n\u00e3o possuem os recursos apropriados de monitoramento ou registro.&#8221;<\/span><\/p>\n<p>\u00a0<\/p>\n<p>Este artigo \u00e9 uma tradu\u00e7\u00e3o de: <a href=\"https:\/\/thehackernews.com\/2022\/06\/hackers-exploiting-unpatched-critical.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2022\/06\/hackers-exploiting-unpatched-critical.html\u00a0<\/a> (Autor: <span class=\"author\">Ravie Lakshmanan<\/span>)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Hackers explorando a vulnerabilidade de Zero-Day do Critical Atlassian Confluence sem corre\u00e7\u00e3o \u00a0 A Atlassian alertou sobre uma vulnerabilidade cr\u00edtica de execu\u00e7\u00e3o remota de c\u00f3digo n\u00e3o corrigida que afeta os produtos Confluence Server e Data Center, que segundo ela est\u00e3o sendo ativamente explorados na natureza. \u00a0 A empresa de software australiana creditou a empresa de [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":19601,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19600","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19600","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19600"}],"version-history":[{"count":1,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19600\/revisions"}],"predecessor-version":[{"id":19602,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19600\/revisions\/19602"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19601"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19600"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19600"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19600"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}