Detecção CVE-2022-26134: Vulnerabilidade Zero-Day no Atlassian Confluence

[post-views]
Junho 03, 2022 · 3 min de leitura
Detecção CVE-2022-26134: Vulnerabilidade Zero-Day no Atlassian Confluence

Os adversários lançam ataques que fazem manchetes contra servidores Confluence vulneráveis em todo o mundo. Atlassian alerta seus usuários sobre os riscos de segurança associados a uma falha RCE detectada em todas as versões suportadas do Confluence (Server e Data Center). O bug é rastreado como CVE-2022-26134, com o fornecedor classificando-o com o nível mais alto de severidade. A partir de 3 de junho de 2022, não há patches para corrigir essa vulnerabilidade no wiki corporativo da Atlassian.

Detectar CVE-2022-26134

Para evitar que essa exploração de zero-day cause danos significativos ao seu sistema, utilize as seguintes regras Sigma lançadas por uma equipe de engenheiros talentosos caçadores de ameaças da SOC Prime:

Possível Execução por Atividade Pós-Exploração da Vulnerabilidade CVE-2022-26134 (via linha de comando)

Possíveis Padrões de Injeção de Comandos de SO (via web)

Processo Filho Java Suspeito (via linha de comando)

Mais um kit de regras de 2020 que nossos analistas de segurança consideram útil:

Possíveis Padrões de Injeção de Comandos de SO (via web)

Usuários não registrados podem navegar pela coleção de regras Sigma disponíveis via Search Engine – uma central de inteligência contra ameaças e conteúdo SOC. Pressione o Drill Down to Search Engine botão para levar sua rotina de detecção para o próximo nível.

Outra opção que desbloqueia mais possibilidades é se registrar na Plataforma SOC Prime e obter um plano de assinatura gratuito da Comunidade. Clique no botão View in SOC Prime Platform button para acessar uma coleção exaustiva de algoritmos de detecção para várias vulnerabilidades de zero-day alinhadas com mais de 25 soluções SIEM, EDR e XDR.

Ver na Plataforma SOC Prime Drill Down to Search Engine

Descrição CVE-2022-26134

A vulnerabilidade no Confluence foi descoberta pela primeira vez por Volexity recentemente, durante o fim de semana do Memorial Day. Segundo os pesquisadores, os agentes de ameaça aproveitaram a vulnerabilidade de injeção de zero-day para adquirir acesso total ao sistema e implantar o web shell Behinder para ações maliciosas adicionais.

Devido à falta de um patch, Atlassian recomenda que os administradores proíbam o acesso externo aos servidores Confluence. Atualmente, não há dados sobre servidores hospedados na nuvem sendo afetados por esse furo de segurança.

Em agosto passado, a empresa divulgou outro bug crítico em seu produto que permitia que usuários não autenticados executassem código arbitrário em dispositivos com Confluence Server ou Confluence Data Center instalados. A falha de injeção foi atribuída a CVE-2021-26084.

A SOC Prime amplia continuamente o suporte para ferramentas e tecnologias de análise de segurança, enriquecendo as capacidades de detecção para plataformas de próxima geração de SIEM, EDR e XDR, garantindo soluções futuras e econômicas para profissionais de SOC em todo o mundo. Saiba mais sobre o que temos a oferecer para melhorar a detecção.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Telychko Acessar Funcionalidade do Uncoder AI via API 2 min de leitura Plataforma SOC Prime Acessar Funcionalidade do Uncoder AI via API by Steven Edwards Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI 2 min de leitura Plataforma SOC Prime Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI by Steven Edwards
Todas as notícias