Het is opnieuw een race tegen de klok. Cybercriminelen maken sinds enkele dagen massaal misbruik van de kritieke kwetsbaarheid in de samenwerkingssoftware Confluence van Atlassian. De vrijwilligers van het Dutch Institute for Vulnerability Disclosure (DIVD) werken met man en macht om zoveel mogelijk gebruikers van Confluence te wijzen op deze kwetsbaarheid en de inmiddels aanwezige patch. De teller staat op 15.000 mails en counting. In Nederland gaat het om minstens 460 kwetsbare systemen.
Op 2 juni maakten onderzoekers van het Amerikaanse securitybedrijf Volexity bekend misbruik van een onbekende (0-day) kwetsbaarheid in Confluence te hebben ontdekt bij een van haar klanten. Hier werd gericht misbruik van gemaakt. Maar binnen 24 uur werd online breed gedeeld hoe deze kwetsbaarheid te misbruiken is, met als gevolg een massale verspreiding van malware. Confluence wordt wereldwijd gebruikt door onder meer overheden, banken en vitale infrastructuur. Confluence is samenwerkingssoftware voor het vastleggen van (interne) documentatie en ondersteunt directe integratie met vele andere systemen zoals Google Drive, Draw.io. en meer.
In de afgelopen dagen hebben cybercriminelen massaal gescand op deze kwetsbaarheid. Greynoise.io heeft 350 unieke ip-adressen gevonden die op deze kwetsbaarheid scanden. 349 daarvan zijn gemarkeerd als 'malicious', dus kwaadaardig.
Wat kunnen criminelen met een exploit bereiken?
Aanvallers kunnen toegang krijgen tot de infrastructuur van een organisatie. Al dan niet met beperkte systeemrechten kunnen aanvallers alle interne data uit Confluence buit maken. Sinds de bekendmaking van de exploit, worden er door aanvallers Crypto Miners, Mirai botnet agents en web shells op servers geplaatst. Het is ook mogelijk dat aanvallers hiermee organisaties intern gaan scannen wat kan leiden tot grote datalekken.
Wat doet DIVD?
De vrijwillige onderzoekers van DIVD identificeren kwetsbare Confluence-instances die toegankelijk zijn via internet en waarschuwen de eigenaren. We proberen organisaties te waarschuwen hun systemen te updaten, voordat criminelen misbruik kunnen maken van de kwetsbaarheid. Vanaf onze eigen scan infrastructuur [AS: 50.559] scannen we voor Atlassian Confluence servers en we filteren de versies eruit die niet gepatcht zijn. Wanneer we vaststellen dat er een kwetsbare Confluence instance aanwezig is, sturen wij een melding naar de organisatie via de internet service provider. In het geval van Nederlandse Confluence gebruikers, delen we onze data met het Digital Trust Center en het Nederlandse Security Meldpunt. Deze organisaties delen de informatie weer met de eindgebruikers.
We maken hier gebruik van de WHOIS abuse informatie. Wanneer we een duidelijke eigenaar kunnen zien door middel van bijvoorbeeld de domeinnaam dan zullen we hier een contactpersoon of e-mailadres bij zoeken om een e-mail te sturen. Bij kritische organisaties zoals overheden, chemische industrieën, olie-/gasproductie, fabrikanten, transport- en financiële diensten zoeken we ook vaak direct (telefonisch) contact of via LinkedIn als we hier nog geen liaison of contactpersoon van hebben.
Wat kunnen organisaties zelf doen?
- Patchen. Indien het niet mogelijk is om dit te doen, kan het helpen om de omgeving voorlopig niet ontsluiten naar het internet en/of een WAF in te zetten. Probeer dan een geïsoleerde omgeving te creëren die alleen toegankelijk is voor IP-adressen die toegang nodig hebben.
- Controleer of er geen extra gebruikers zijn aangemaakt door derden.
- Controleer de logfiles {installatie directory}/logs/conf_access_log{datum}.log op misbruik.
Wanneer een kwaadwillende een webshell heeft kunnen plaatsen is het goed mogelijk dat de logfile daarna zijn gemanipuleerd/schoon gepoetst. Het is verstandig om grondig onderzoek te doen naar backdoors en in kaart te brengen of er ongewone activiteit vanuit de betreffende server heeft plaatsgevonden.
Observaties
We zien uit onze eerste wereldwijde scan dat men vooral in Duitsland erg laat was met het patchen van de kwetsbaarheid. Op de tweede plaats is de VS, maar dit komt omdat er veel gebruik gemaakt wordt van cloud diensten zoals Amazon.