Cómo fortiedr protege contra la actividad posterior a la explotación de Confluence CVE-2022-26134

Consulta técnica sobre FortiEDR

Descripción

 

El 2 de junio de 2022, Atlassian publicó un aviso sobre una vulnerabilidad crítica de inyección de OGNL en su producto Confluence que permite la ejecución remota de código (RCE).

Esta vulnerabilidad permite la ejecución de código arbitrario en un punto final accesible que aloja Confluence a través de una solicitud web especialmente diseñada.

La explotación de esta vulnerabilidad es simple y hay múltiples ejemplos de código POC disponibles para explotarla [1] [2] [3] , para obtener más información sobre esta vulnerabilidad, consulte la publicación del blog de Volexity: https://www.volexity.com/blog/ 2022/06/02/zero-day-exploitation-of-atlassian-confluence/ .

 

Esta vulnerabilidad está siendo utilizada actualmente por numerosos actores de amenazas como un método de acceso inicial alternativo y se está sustituyendo rápidamente en las campañas existentes.

Actualmente, FortiEDR no brinda protección contra la explotación directa de esta vulnerabilidad, pero detectará la actividad posterior a la explotación, incluidos todos los TTP posteriores a la explotación rastreados actualmente.

Detener la actividad posterior a la explotación todavía mitiga efectivamente que el adversario logre sus acciones sobre los objetivos.

Esto mantiene seguros los datos de todos y minimiza el impacto de estos ataques en la disponibilidad.

 

Estos TTP posteriores a la explotación se pueden dividir en varias categorías:

 

1) RCE utilizado para organizar estructuras web conocidas (es decir, Behinder y China Chopper).

 

 

Figura 1. Cadena de ataque que usa Confluence RCE para organizar web shells y luego realizar una actividad posterior a la explotación

 

2) RCE utilizado para la ejecución de LOLBIN (binarios Live off the land) como certutil.

 

 

Figura 2. Cadena de ataque utilizando Confluence RCE para realizar directamente la actividad posterior a la explotación.

 

Ambos tipos de actividad posterior a la explotación se han observado en la naturaleza y ambos están efectivamente mitigados por las políticas de seguridad existentes de FortiEDR.

Las protecciones contra este tipo de comportamiento posterior a la explotación deben estar presentes en todas las soluciones EDR modernas y brindar protección contra la mayoría de las vulnerabilidades RCE presentes en las aplicaciones web en los últimos años.

 

RCE utilizado para organizar shells web.

 

Este es el tipo principal de actividad posterior a la explotación informada por Volexity.

En este escenario, los atacantes usan el acceso RCE para modificar un shell web existente o para escribir shells web simples en directorios que serán atendidos por el servidor web de Confluence.

Los atacantes luego usarán estos shells web para C2.

 

Este tipo de actividad posterior a la explotación es similar a las vulnerabilidades anteriores basadas en aplicaciones web de los últimos años, incluidas las vulnerabilidades de Exchange el año pasado y la vulnerabilidad de Telerik en 2019. La búsqueda de amenazas de FortiEDR se puede usar para identificar eventos de creación de archivos sospechosos y las políticas de seguridad de FortiEDR detectar y bloquear los intentos de usar el acceso web shell para descargar herramientas adicionales y realizar actividades posteriores a la explotación.

En el siguiente escenario, el archivo noop.jsp original se reemplazó con una página web que permite la carga de archivos. Se muestra una comparación de la página web original (predeterminada) de noop junto a la nueva página en la Figura

 

 

Figura 3. Comparación de la página web original ‘noop.jsp’ y el archivo ‘noop.jsp’ modificado con capacidad de carga de archivos.

 

Los archivos cargados a través de esta nueva página web serán creados por el proceso del servidor web que admite la aplicación Confluence.

Artículos relacionados  Cómo recopilar localmente registros de recopiladores de fortiedr

En el caso de una instalación de Windows de Confluence, este servidor web es un proceso Apache Tomcat 9, lo que significa que el proceso de hospedaje es ‘tomcat9.exe’ ejecutándose desde la carpeta ‘<Program Files>AtlassianConfluencebin’.

Confluence no escribe páginas web jsp como parte de su operación estándar, por lo que es posible escribir una consulta de Threat Hunting simple que marca nuevos eventos de ‘Creación de archivos’ donde el ‘Proceso de origen’ es ‘tomcat9.exe’ y la extensión de archivo de los archivos creados es ‘jsp’ con un mínimo de falsos positivos.

 

A continuación, en la Figura 4, se muestra un ejemplo de un evento de creación de archivo para un nuevo shell web. Ejecutar esta consulta como una «Consulta programada» a través de FortiEDR proporcionará alertas cuando se cree un nuevo shell web potencial.

Tenga en cuenta que es posible que deba proporcionar la ruta al ejecutable Confluence tomcat9.exe si se está ejecutando un proceso tomcat9.exe independiente en el punto final.

 

 

Figura 4. Muestra de telemetría de Threat Hunting asociada con la creación de un shell web a través de la página noop.jsp modificada a través de la vulnerabilidad de Confluence.

 

Los shells web lanzados a través de este método seguirán estando alojados en el servidor web de Confluence.

Esto significa que la actividad de web shell posterior se originará a partir del mismo proceso tomcat9.exe. Las consultas de la siguiente sección también se pueden utilizar para identificar eventos asociados con esta actividad de shell web posterior.

 

RCE utilizado para la ejecución de LOLBIN (binarios Live off the land) como certutil.

 

La segunda cadena de ataque destacada anteriormente que incorpora esta vulnerabilidad es mucho más simple e implica simplemente usar LOLBIN directamente a través del acceso RCE.

Los actores pueden usar LOLBIN simples como certutil para descargar más cargas útiles o wmic para realizar el reconocimiento y la ejecución de la carga útil.

De manera similar a las consultas de Threat Hunting anteriores, es posible buscar eventos anómalos de ‘Creación de procesos’ donde el proceso de origen es tomcat9.exe.

Durante el funcionamiento normal de la aplicación Confluence, no esperaríamos procesos secundarios de LOLBIN, por lo que es posible utilizar esta consulta como una consulta programada para crear alertas sobre posibles actividades posteriores a la explotación.

 

Un ejemplo de algunos procesos secundarios LOLBIN de muestra y la búsqueda equivalente se muestran a continuación en la Figura 5.

 

 

Figura 5. Ejemplo de telemetría de Threat Hunting asociada con procesos secundarios anómalos generados a partir del proceso tomcat9.

 

Este tipo de actividad posterior a la explotación puede variar mucho, FortiEDR tiene como objetivo brindar protección contra la actividad maliciosa asociada con el uso de LOLBIN.

Esta cobertura es a través de eventos de seguridad que brindan protección y cobertura de detección. Por ejemplo, vea a continuación (Figura 6) un evento de seguridad generado cuando se usa certutil para descargar un ejecutable desde una dirección externa.

En el «modo de protección», FortiEDR mitigará esta actividad y alertará a los analistas de SOC sobre la actividad potencial que se origina en el proceso del servidor web.

 

 

Figura 6. FortiEDR bloqueará la actividad posterior a la explotación que suelen emplear los actores a través del acceso web shell, en este caso, FortiEDR aplicó un bloqueo simulado en certutil LOLBIN al intentar descargar un binario externo.

Conclusión.

 

Esta vulnerabilidad proporciona una vía de acceso inicial coherente para los actores de amenazas; sin embargo, este comportamiento se puede detectar mediante comprobaciones de telemetría simples y cuenta con parches/soluciones provisionales proporcionados por Atlassian.

En primera instancia, los puntos finales vulnerables deben reforzarse según las instrucciones de asesoramiento de Atlassian disponibles aquí: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html .

 

A pesar de que esta vulnerabilidad proporciona una potente vía de acceso inicial, no debería proporcionar una vía clara para las acciones de un actor sobre los objetivos.

Una solución EDR sólida como FortiEDR evitará que los atacantes impacten en los puntos finales incluso con vulnerabilidades RCE de día cero como esta.

Los clientes de FortiEDR están protegidos de la actividad posterior a la explotación de ITW observada actualmente asociada con esta vulnerabilidad y pueden aumentar la visibilidad de la explotación empleando las consultas de búsqueda de amenazas que se proporcionan a continuación como consultas programadas.

Caza de amenazas.

 

Detecta la creación de web shell desde el proceso tomcat9.

Esto coincide con el comportamiento posterior a la explotación asociado con la modificación de la página web predeterminada ‘noop.jsp’ para que sirva como un simple cargador de archivos.

 

 

Type:"File Create" AND Source.Process.Name:"tomcat9.exe" AND Target.File.Ext:"jsp"

 

 

Detectar la creación de procesos secundarios a partir del proceso tomcat9.exe.

Esta consulta se puede utilizar para detectar la explotación posterior de cualquier actividad que se origine en el proceso tomcat9.exe.

Esto probablemente identificará la actividad posterior a la explotación asociada con cualquiera de las cadenas de ataque descritas en la Figura 1-3.

 

 

Type:"Process Creation" AND Source.Process.Path:"\Atlassian\Confluence\bin\tomcat9.exe"

 

 

Detecta eventos de escritura de archivos generados a partir del proceso tomcat9.exe que modifica los procesos jsp.

Esto detectará cualquier intento de modificar las páginas web existentes para incluir la funcionalidad de shell web o la funcionalidad de carga de archivos (como la descrita anteriormente con noop.jsp).

 

 

Type:"File Write" AND Source.Process.Name:"tomcat9.exe" AND Target.File.Ext:"jsp"

 

MITRE ATT&CK.

 

TA0001 – Acceso Inicial.

Identificación de la técnica

Descripción de la técnica

Actividad observada

T1190

Aprovechar la aplicación orientada al público

Esta vulnerabilidad se dirige a puntos finales públicos que alojan versiones vulnerables de la aplicación Confluence. Las versiones vulnerables se pueden rastrear a través del aviso de Atlassian disponible aquí: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

 

Identificación de la técnica

Descripción de la técnica

Actividad observada

T1505.003

Componente de software de servidor: Web Shell

Se ha observado que los actores de amenazas lanzan varios shells web diferentes, incluidos los shells de helicópteros traseros y chinos, luego de la explotación exitosa de esta vulnerabilidad.

 

TA0002 – Ejecución

Identificación de la técnica

Descripción de la técnica

Actividad observada

T1059.007

Intérprete de comandos y secuencias de comandos: JavaScript

La versión modificada de ‘noop.jsp’ contiene JavaScript utilizado para cargar archivos.

 

TA0003 – Persistencia

Identificación de la técnica

Descripción de la técnica

Actividad observada

T1505.003

Componente de software de servidor: Web Shell

El actor usó varios shells web como su método C2 y su ruta de ejecución.

 

TA0004 – Escalada de privilegios

Identificación de la técnica

Descripción de la técnica

Actividad observada

T1068

Explotación para la escalada de privilegios

El servidor web (tomcat9.exe) que se ejecuta en soporte de la aplicación Confluence se ejecuta en el contexto de ‘autoridad ntservicio de red’. Esta es una cuenta privilegiada.

 

TA0005 – Evasión defensiva

Identificación de la técnica

Descripción de la técnica

Actividad observada

T1036.005

Enmascaramiento: coincide con el nombre o la ubicación legítimos

Se ha observado que los actores de amenazas agregan la funcionalidad de carga de archivos simple al contenido de la página web ‘noop.jsp’. Esta página web es una parte predeterminada de una instalación de Confluence. Agregar esta funcionalidad permitirá un método de «alternativa» para que el adversario recupere el acceso si pierde sus webshells y les permitirá esconderse entre el tráfico «legítimo».

Artículos relacionados  Cómo fortiedr protege contra el ransomware blackcat (ALPHV).

 

COI asociados

 

Indicador Descripción

Indicador

Tipo de indicador

Táctica asociada

notas

Hash noop.jsp modificado asociado con CVE-2022-26134

5d52b3dd59511464def4b90c01d03383fcc8fb63

hash SHA1

Comando y Control, Persistencia

 

Hash noop.jsp modificado asociado con CVE-2022-26134

4c02c3a150de6b70d6fca584c29888202cc1deef

hash SHA1

Comando y Control, Persistencia

Inicialmente identificado por Volexity

Hash noop.jsp modificado asociado con CVE-2022-26134

06104dcfd91cae342072fb6b358457cfe0573d8f

hash SHA1

Comando y Control, Persistencia

 

Dirección IP observada intentando explotar CVE-2022-26134

156[.]146.56.136

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

154[.]146.34.145

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

154[.]16.105.147

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

156[.]146.34.46

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

156[.]146.34.52

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

156[.]146.34.9

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

198[.]147.22.148

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

221[.]178.126.244

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

45[.]43.19.91

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

59[.]163.248.170

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

64[.]64.228.239

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

66[.]115.182.102

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

66[.]115.182.111

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

67[.]149.61.16

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

Dirección IP observada intentando explotar CVE-2022-26134

98[.]32.230.38

Dirección IP

Acceso inicial

Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134

 

[1] https://github.com/shamo0/CVE-2022-26134

[2] https://github.com/h3v0x/CVE-2022-26134

[3] https://github.com/Brucetg/CVE-2022-26134

¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *