Віддалене виконання коду (Remote Code Execution, RCE) — це виконання довільного коду в комп’ютерній системі, де зловмисник не має прямого доступу до консолі. Використовуючи вразливості, віддалений хакер може отримати повний контроль над системою. Це стосується прогалин безпеки в Confluence та Azure.
Наприклад, будь-який користувач, який має доступ до кінцевої точки з уразливою версією програмного забезпечення, може виконувати довільні команди через HTTP-запит, не вимагаючи заголовка авторизації. Очікуваною відповіддю на цей запит буде сторінка відповіді 401 "Unauthorized". Однак користувач може запускати команди з правами root. Ці загрози вже були виявлені під час атаки на Equifax у 2017 році.
Дві нещодавно виявлені вразливості є останніми розробками в цьому типі атак: уразливість Atlassian Confluence OGNL ін’єкції та вразливість, що впливає на відкриту інфраструктуру управління Azure (OMI). Дослідники безпеки Barracuda проаналізували атаки, які намагалися використати ці вразливості протягом 45-денного періоду в серпні та вересні 2021 року, і виявили сплески атак, що походять з понад 500 унікальних IP-адрес зловмисників. Нижче докладніше розглядаються ці вразливості, останні шаблони атак і рішення, які організації можуть використовувати для захисту від цих типів атак.
Детально про вразливості Confluence та Azure
1. Вразливість ін’єкції OGNL Atlassian Confluence
Уразливість Atlassian Confluence OGNL Injection вперше була розкрита Atlassian 25 серпня 2021 року. Незабаром після цього його було додано до національної бази даних уразливостей (CVE-2021-26084). Ця вразливість дозволяє суб’єктам загрози надсилати запит «POST» за допомогою механізму шаблонів Confluence без заголовка авторизації. Це надає загрозливому учаснику «кореневий» доступ до системи. Зловмисники можуть вводити код Java за допомогою параметрів "queryString" і "linkCreation".
Atlassian оголосив, що «ція вразливість уражена всіма версіями Confluence Server і Data Center до виправлених версій». Аналізуючи дані з кінця серпня по кінець вересня, дослідники безпеки Barracuda встановили, що кількість атак на вразливості Confluence стрімко зросла і залишається на високому рівні. рівнів, оскільки багато користувачів Confluence все ще мають уразливу версію програмного забезпечення.
2. Уразливість у відкритій інфраструктурі керування Azure (OMI)
Azure випустила CVE-2021-38647 15 вересня 2021 року. Ця вразливість впливає на відкриту інфраструктуру керування Azure (OMI). Azure OMI — це програмний агент, попередньо інстальований та розгорнутий у хмарних середовищах. Ця тиха інсталяція тепер піддає ризику клієнтів Azure, доки вони не оновлять свої системи до останньої версії OMI.
Зловмисники атакують ці системи, надсилаючи спеціально створене повідомлення HTTPS на один із портів, які прослуховують трафік OMI (порти 1270/5985/5986), надаючи зловмиснику початковий доступ до комп’ютера. Команди, надіслані зловмисником, виконуються службою SCXcore, що дозволяє зловмиснику використовувати вразливості. Зловмисник може видати команду без заголовка авторизації на комп’ютер, якому сервер OMI довіряє та надає зловмисникові «кореневий» доступ до системи. Microsoft пояснила у своєму блозі: «ExecuteShellCommand RunAsProvider запускає будь-яку команду UNIX/Linux через оболонку /bin/sh».
Зловмисники націлені саме на вразливість
Аналізуючи дані систем Barracuda з середини вересня, дослідники безпеки Barracuda помітили різке збільшення кількості зловмисників, які намагаються скористатися цією вразливістю. Після початкового сплеску 18 вересня кількість спроб атак зменшилася, але цей сплеск тривав і з часом вирівнявся.
Аналіз атак Barracuda за 45-денний період у серпні та вересні виявив 550 унікальних IP-адрес зловмисників, які намагалися використати вразливість Atlassian Confluence, і 542 унікальні IP-адреси зловмисників, які намагалися використати вразливість Azure OMI. За кожною IP-адресою було кілька зловмисників, а це означає, що кількість атак значно перевищувала кількість IP-адрес. Дослідники виявили цю інформацію за допомогою відбитків пальців клієнта та інших методів.
Аналіз показує більшість IP-адрес зловмисників
Як видно з теплової карти вище, більшість IP-адрес зловмисників розташовані в США, включаючи Аляску. Це може бути пов’язано з тим, що більшість серверних ферм розташовані в цих регіонах. Атаки також були спрямовані з таких країн, як Росія, Великобританія, Польща та Індія. Зловмисники в усьому світі намагаються використати ці вразливості, і організації повинні залишатися попереду, щоб захистити свої веб-додатки.
Підприємства повинні захищати веб-додатки
Через збільшення кількості вразливостей у веб-додатках захист від атак стає все складнішим. Однак зараз існують комплексні рішення, які захищають веб-програми від використання цих вразливостей. Рішення WAF/WAF-as-a-Service, також відомі як служби WAAP (Web Application and API Protection), можуть допомогти захистити веб-додатки, надаючи всі найновіші рішення безпеки в одному, простому у використанні продукті.
Оскільки багато співробітників працюють віддалено та багато додатків онлайн, потреба в рішенні WAF як послуга або WAAP ніколи не була такою великою. Тому компаніям необхідно забезпечити рішення, яке включає захист від ботів, захист від DDoS і безпеку API.
Більше на Barracuda.com
Про Barracuda Networks Barracuda прагне зробити світ безпечнішим і вважає, що кожен бізнес повинен мати доступ до хмарних рішень безпеки для всього підприємства, які легко придбати, розгорнути та використовувати. Barracuda захищає електронну пошту, мережі, дані та програми за допомогою інноваційних рішень, які розвиваються та адаптуються на шляху клієнта. Понад 150.000 XNUMX компаній у всьому світі довіряють Barracuda, щоб вони могли зосередитися на розвитку свого бізнесу. Для отримання додаткової інформації відвідайте www.barracuda.com.