Rilevamento CVE-2022-26134: Vulnerabilità Zero-Day di Atlassian Confluence

Gli avversari lanciano attacchi che fanno notizia contro i server Confluence vulnerabili in tutto il mondo. Atlassian avverte i suoi utenti dei rischi per la sicurezza associati a un difetto RCE rilevato in tutte le versioni supportate di Confluence (Server e Data Center). Il bug viene tracciato come CVE-2022-26134, con il fornitore che lo classifica al livello di gravità più alto. Al 3 giugno 2022, non ci sono patch per risolvere questa vulnerabilità nella wiki aziendale di Atlassian.

Rileva CVE-2022-26134

Per evitare che questo exploit zero-day causi danni significativi al tuo sistema, utilizza le seguenti regole Sigma rilasciate da un team di ingegneri esperti nella caccia alle minacce di SOC Prime:

Possibile esecuzione tramite attività post sfruttamento dalla vulnerabilità CVE-2022-26134 (via cmdline)

Possibili schemi di iniezione di comandi OS (via web)

Processo figlio Java sospetto (via cmdline)

Un altro kit di regole dal 2020 che i nostri analisti di sicurezza considerano utile:

Possibili schemi di iniezione di comandi OS (via web)

Gli utenti non registrati possono sfogliare la raccolta di regole Sigma disponibili tramite il motore di ricerca, un punto di riferimento unico per l’intelligence sulle minacce e i contenuti SOC. Premi Esplora nel motore di ricerca per portare la tua routine di rilevamento a un livello superiore.

Un’altra opzione che sblocca più possibilità è registrarsi alla piattaforma SOC Prime e ottenere un piano di abbonamento gratuito alla Community. Premi il pulsante Visualizza nella piattaforma SOC Prime per accedere a una collezione esaustiva di algoritmi di rilevamento per più vulnerabilità zero-day allineati con oltre 25 soluzioni SIEM, EDR e XDR.

Visualizza nella piattaforma SOC Prime Esplora nel motore di ricerca

Descrizione di CVE-2022-26134

La vulnerabilità in Confluence è stata rilevata per la prima volta da Volexity solo di recente, durante un weekend del Memorial Day. Secondo i ricercatori, gli attori delle minacce hanno sfruttato la vulnerabilità di iniezione zero-day per acquisire l’accesso completo al sistema e installare la web shell Behinder per ulteriori azioni dannose.

A causa della mancanza di una patch, Atlassian raccomanda che gli amministratori proibiscano l’accesso esterno ai server Confluence. Attualmente, non ci sono dati sui server ospitati nel cloud interessati da questo problema di sicurezza.

Lo scorso agosto, la società ha divulgato un altro bug critico nel proprio prodotto che consentiva agli utenti non autenticati di eseguire codice arbitrario su dispositivi con Confluence Server o Confluence Data Center installati. Il difetto di iniezione è stato assegnato CVE-2021-26084.

SOC Prime amplia continuamente il supporto per strumenti e tecnologie di analisi della sicurezza, arricchendo le capacità di rilevamento per piattaforme SIEM, EDR e XDR di nuova generazione, garantendo soluzioni efficienti e a prova di futuro per i professionisti SOC in tutto il mondo. Scopri di più su quello che abbiamo da offrire per migliorare il rilevamento.