Consulta técnica sobre FortiEDR
Descripción
El 2 de junio de 2022, Atlassian publicó un aviso sobre una vulnerabilidad crítica de inyección de OGNL en su producto Confluence que permite la ejecución remota de código (RCE).
Esta vulnerabilidad permite la ejecución de código arbitrario en un punto final accesible que aloja Confluence a través de una solicitud web especialmente diseñada.
La explotación de esta vulnerabilidad es simple y hay múltiples ejemplos de código POC disponibles para explotarla [1] [2] [3] , para obtener más información sobre esta vulnerabilidad, consulte la publicación del blog de Volexity: https://www.volexity.com/blog/ 2022/06/02/zero-day-exploitation-of-atlassian-confluence/ .
Esta vulnerabilidad está siendo utilizada actualmente por numerosos actores de amenazas como un método de acceso inicial alternativo y se está sustituyendo rápidamente en las campañas existentes.
Actualmente, FortiEDR no brinda protección contra la explotación directa de esta vulnerabilidad, pero detectará la actividad posterior a la explotación, incluidos todos los TTP posteriores a la explotación rastreados actualmente.
Detener la actividad posterior a la explotación todavía mitiga efectivamente que el adversario logre sus acciones sobre los objetivos.
Esto mantiene seguros los datos de todos y minimiza el impacto de estos ataques en la disponibilidad.
Estos TTP posteriores a la explotación se pueden dividir en varias categorías:
1) RCE utilizado para organizar estructuras web conocidas (es decir, Behinder y China Chopper).
Figura 1. Cadena de ataque que usa Confluence RCE para organizar web shells y luego realizar una actividad posterior a la explotación
2) RCE utilizado para la ejecución de LOLBIN (binarios Live off the land) como certutil.
Figura 2. Cadena de ataque utilizando Confluence RCE para realizar directamente la actividad posterior a la explotación.
Ambos tipos de actividad posterior a la explotación se han observado en la naturaleza y ambos están efectivamente mitigados por las políticas de seguridad existentes de FortiEDR.
Las protecciones contra este tipo de comportamiento posterior a la explotación deben estar presentes en todas las soluciones EDR modernas y brindar protección contra la mayoría de las vulnerabilidades RCE presentes en las aplicaciones web en los últimos años.
RCE utilizado para organizar shells web.
Este es el tipo principal de actividad posterior a la explotación informada por Volexity.
En este escenario, los atacantes usan el acceso RCE para modificar un shell web existente o para escribir shells web simples en directorios que serán atendidos por el servidor web de Confluence.
Los atacantes luego usarán estos shells web para C2.
Este tipo de actividad posterior a la explotación es similar a las vulnerabilidades anteriores basadas en aplicaciones web de los últimos años, incluidas las vulnerabilidades de Exchange el año pasado y la vulnerabilidad de Telerik en 2019. La búsqueda de amenazas de FortiEDR se puede usar para identificar eventos de creación de archivos sospechosos y las políticas de seguridad de FortiEDR detectar y bloquear los intentos de usar el acceso web shell para descargar herramientas adicionales y realizar actividades posteriores a la explotación.
En el siguiente escenario, el archivo noop.jsp original se reemplazó con una página web que permite la carga de archivos. Se muestra una comparación de la página web original (predeterminada) de noop junto a la nueva página en la Figura
Figura 3. Comparación de la página web original ‘noop.jsp’ y el archivo ‘noop.jsp’ modificado con capacidad de carga de archivos.
Los archivos cargados a través de esta nueva página web serán creados por el proceso del servidor web que admite la aplicación Confluence.
En el caso de una instalación de Windows de Confluence, este servidor web es un proceso Apache Tomcat 9, lo que significa que el proceso de hospedaje es ‘tomcat9.exe’ ejecutándose desde la carpeta ‘<Program Files>AtlassianConfluencebin’.
Confluence no escribe páginas web jsp como parte de su operación estándar, por lo que es posible escribir una consulta de Threat Hunting simple que marca nuevos eventos de ‘Creación de archivos’ donde el ‘Proceso de origen’ es ‘tomcat9.exe’ y la extensión de archivo de los archivos creados es ‘jsp’ con un mínimo de falsos positivos.
A continuación, en la Figura 4, se muestra un ejemplo de un evento de creación de archivo para un nuevo shell web. Ejecutar esta consulta como una «Consulta programada» a través de FortiEDR proporcionará alertas cuando se cree un nuevo shell web potencial.
Tenga en cuenta que es posible que deba proporcionar la ruta al ejecutable Confluence tomcat9.exe si se está ejecutando un proceso tomcat9.exe independiente en el punto final.
Figura 4. Muestra de telemetría de Threat Hunting asociada con la creación de un shell web a través de la página noop.jsp modificada a través de la vulnerabilidad de Confluence.
Los shells web lanzados a través de este método seguirán estando alojados en el servidor web de Confluence.
Esto significa que la actividad de web shell posterior se originará a partir del mismo proceso tomcat9.exe. Las consultas de la siguiente sección también se pueden utilizar para identificar eventos asociados con esta actividad de shell web posterior.
RCE utilizado para la ejecución de LOLBIN (binarios Live off the land) como certutil.
La segunda cadena de ataque destacada anteriormente que incorpora esta vulnerabilidad es mucho más simple e implica simplemente usar LOLBIN directamente a través del acceso RCE.
Los actores pueden usar LOLBIN simples como certutil para descargar más cargas útiles o wmic para realizar el reconocimiento y la ejecución de la carga útil.
De manera similar a las consultas de Threat Hunting anteriores, es posible buscar eventos anómalos de ‘Creación de procesos’ donde el proceso de origen es tomcat9.exe.
Durante el funcionamiento normal de la aplicación Confluence, no esperaríamos procesos secundarios de LOLBIN, por lo que es posible utilizar esta consulta como una consulta programada para crear alertas sobre posibles actividades posteriores a la explotación.
Un ejemplo de algunos procesos secundarios LOLBIN de muestra y la búsqueda equivalente se muestran a continuación en la Figura 5.
Figura 5. Ejemplo de telemetría de Threat Hunting asociada con procesos secundarios anómalos generados a partir del proceso tomcat9.
Este tipo de actividad posterior a la explotación puede variar mucho, FortiEDR tiene como objetivo brindar protección contra la actividad maliciosa asociada con el uso de LOLBIN.
Esta cobertura es a través de eventos de seguridad que brindan protección y cobertura de detección. Por ejemplo, vea a continuación (Figura 6) un evento de seguridad generado cuando se usa certutil para descargar un ejecutable desde una dirección externa.
En el «modo de protección», FortiEDR mitigará esta actividad y alertará a los analistas de SOC sobre la actividad potencial que se origina en el proceso del servidor web.
Figura 6. FortiEDR bloqueará la actividad posterior a la explotación que suelen emplear los actores a través del acceso web shell, en este caso, FortiEDR aplicó un bloqueo simulado en certutil LOLBIN al intentar descargar un binario externo.
Índice
Conclusión.
Esta vulnerabilidad proporciona una vía de acceso inicial coherente para los actores de amenazas; sin embargo, este comportamiento se puede detectar mediante comprobaciones de telemetría simples y cuenta con parches/soluciones provisionales proporcionados por Atlassian.
En primera instancia, los puntos finales vulnerables deben reforzarse según las instrucciones de asesoramiento de Atlassian disponibles aquí: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html .
A pesar de que esta vulnerabilidad proporciona una potente vía de acceso inicial, no debería proporcionar una vía clara para las acciones de un actor sobre los objetivos.
Una solución EDR sólida como FortiEDR evitará que los atacantes impacten en los puntos finales incluso con vulnerabilidades RCE de día cero como esta.
Los clientes de FortiEDR están protegidos de la actividad posterior a la explotación de ITW observada actualmente asociada con esta vulnerabilidad y pueden aumentar la visibilidad de la explotación empleando las consultas de búsqueda de amenazas que se proporcionan a continuación como consultas programadas.
Caza de amenazas.
Detecta la creación de web shell desde el proceso tomcat9.
Esto coincide con el comportamiento posterior a la explotación asociado con la modificación de la página web predeterminada ‘noop.jsp’ para que sirva como un simple cargador de archivos.
Type:"File Create" AND Source.Process.Name:"tomcat9.exe" AND Target.File.Ext:"jsp"
Detectar la creación de procesos secundarios a partir del proceso tomcat9.exe.
Esta consulta se puede utilizar para detectar la explotación posterior de cualquier actividad que se origine en el proceso tomcat9.exe.
Esto probablemente identificará la actividad posterior a la explotación asociada con cualquiera de las cadenas de ataque descritas en la Figura 1-3.
Type:"Process Creation" AND Source.Process.Path:"\Atlassian\Confluence\bin\tomcat9.exe"
Detecta eventos de escritura de archivos generados a partir del proceso tomcat9.exe que modifica los procesos jsp.
Esto detectará cualquier intento de modificar las páginas web existentes para incluir la funcionalidad de shell web o la funcionalidad de carga de archivos (como la descrita anteriormente con noop.jsp).
Type:"File Write" AND Source.Process.Name:"tomcat9.exe" AND Target.File.Ext:"jsp"
MITRE ATT&CK.
TA0001 – Acceso Inicial.
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1190 | Aprovechar la aplicación orientada al público | Esta vulnerabilidad se dirige a puntos finales públicos que alojan versiones vulnerables de la aplicación Confluence. Las versiones vulnerables se pueden rastrear a través del aviso de Atlassian disponible aquí: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html |
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1505.003 | Componente de software de servidor: Web Shell | Se ha observado que los actores de amenazas lanzan varios shells web diferentes, incluidos los shells de helicópteros traseros y chinos, luego de la explotación exitosa de esta vulnerabilidad. |
TA0002 – Ejecución
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1059.007 | Intérprete de comandos y secuencias de comandos: JavaScript | La versión modificada de ‘noop.jsp’ contiene JavaScript utilizado para cargar archivos. |
TA0003 – Persistencia
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1505.003 | Componente de software de servidor: Web Shell | El actor usó varios shells web como su método C2 y su ruta de ejecución. |
TA0004 – Escalada de privilegios
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1068 | Explotación para la escalada de privilegios | El servidor web (tomcat9.exe) que se ejecuta en soporte de la aplicación Confluence se ejecuta en el contexto de ‘autoridad ntservicio de red’. Esta es una cuenta privilegiada. |
TA0005 – Evasión defensiva
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1036.005 | Enmascaramiento: coincide con el nombre o la ubicación legítimos | Se ha observado que los actores de amenazas agregan la funcionalidad de carga de archivos simple al contenido de la página web ‘noop.jsp’. Esta página web es una parte predeterminada de una instalación de Confluence. Agregar esta funcionalidad permitirá un método de «alternativa» para que el adversario recupere el acceso si pierde sus webshells y les permitirá esconderse entre el tráfico «legítimo». |
COI asociados
Indicador Descripción | Indicador | Tipo de indicador | Táctica asociada | notas |
Hash noop.jsp modificado asociado con CVE-2022-26134 | 5d52b3dd59511464def4b90c01d03383fcc8fb63 | hash SHA1 | Comando y Control, Persistencia |
|
Hash noop.jsp modificado asociado con CVE-2022-26134 | 4c02c3a150de6b70d6fca584c29888202cc1deef | hash SHA1 | Comando y Control, Persistencia | Inicialmente identificado por Volexity |
Hash noop.jsp modificado asociado con CVE-2022-26134 | 06104dcfd91cae342072fb6b358457cfe0573d8f | hash SHA1 | Comando y Control, Persistencia |
|
Dirección IP observada intentando explotar CVE-2022-26134 | 156[.]146.56.136 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 154[.]146.34.145 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 154[.]16.105.147 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 156[.]146.34.46 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 156[.]146.34.52 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 156[.]146.34.9 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 198[.]147.22.148 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 221[.]178.126.244 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 45[.]43.19.91 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 59[.]163.248.170 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 64[.]64.228.239 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 66[.]115.182.102 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 66[.]115.182.111 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 67[.]149.61.16 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
Dirección IP observada intentando explotar CVE-2022-26134 | 98[.]32.230.38 | Dirección IP | Acceso inicial | Dirección IP asociada con los intentos de acceso inicial mediante el exploit CVE-2022-26134 |
[1] https://github.com/shamo0/CVE-2022-26134
[2] https://github.com/h3v0x/CVE-2022-26134
[3] https://github.com/Brucetg/CVE-2022-26134
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!