Kant's IT/Vulnerability

Cerber Ransomware, Atlassian Conflunce 취약점(CVE-2023-22518) 이용

Kant Jo 2023. 11. 12. 09:00

* url: https://www.trendmicro.com/en_us/research/23/k/cerber-ransomware-exploits-cve-2023-22518.html

 

Cerber Ransomware Exploits Atlassian Confluence Vulnerability CVE-2023-22518

We encountered the Cerber ransomware exploiting the Atlassian Confluence vulnerability CVE-2023-22518 in its operations.

www.trendmicro.com

Cerber ransomware 그룹 Atlassian Confluence 취약점 이용

  • TrendMicro는 Confluence Data Center 및 Server에서 CVE-2023-22518 취약점을 이용하는 Cerber Ransomware를 발견
  • 이를 통해 해커는 인증이 되지 않은 상태에서 Confluence 내 관리자 계성 생성 가능
  • 위 계정을 사용하여 Confluence 인스턴스의 모든 데이터를 암호화함

공격 플로우

  1. Confluence 인스턴스에 대한 취약점 검색
  2. 취약점을 악용하여 Confluence를 재설정하고 관리자 계정 생성
  3. 관리자 계정을 사용하여 Confluence에 접근
  4. Confluence 인스턴스의 모든 데이터를 암호화
  5. 피해자에게 몸값 요구
    Pasted image 20231111203453.png

CVE-2023-22518 취약점

  • Atlassian Confluence Data Center 및 Server에서 공격자가 인증없이 Confluence 관리자 계정을 생성할 수 있음
  • 2023년 10월 31일 Atlassian에서 해당 취약점 패치 및 권고사항 발표

취약점 영향

  • 공격자가 Confluence 인스턴스를 완전히 제어할 수 있음
  • 공격자가 Confluence에 저장된 데이터를 삭제하거나 암호화할 수 있음
  • 공격자가 Confluence를 사용하여 다름 시스템에 대한 공격을 할 수 있음

패치 및 권고사항

Atlassian에서 다음 각 버전으로 패치할 것을 권고

Product Fixed Versions
Confluence Data Center
and Server		 7.19.16
8.3.4
8.4.4
8.5.3
8.6.1
패치할 수 없는 경우 완화 조치 방법
  1. 인스턴스 백업
  2. 패치 적용할 수 있을 때 까지 인스턴스 제거
    • 패치 전까지 사용자 인증이 있는 인스턴스는 외부 네트워크 엑세스가 제한되어야 함
  3. 외부 네트워크 엑세스를 제한하거나 패치가 불가능한 경우, Confluence 인스턴스에서 다음 엔드포인트에 대한 엑세스를 차단하여야 함
    • /json/setup-restore.action
    • /json/setup-restore-local.action
    • /json/setup-restore-progress.action
    • 방법
      1. 각 노드에서 /<confluence-install-dir>/confluence/WEB-INF/web.xml를 수정하고 다음 코드블록을 추가
      2. Confluence 재시작
	<security-constraint> 			<web-resource-collection> 				<url-pattern>/json/setup-restore.action</url-pattern> 				<url-pattern>/json/setup-restore-local.action</url-pattern> 				<url-pattern>/json/setup-restore-progress.action</url-pattern> 				<http-method-omission>*</http-method-omission> 			</web-resource-collection> 		<auth-constraint /> 	</security-constraint>

위협 감지

다음 항목을 참고하여 침해 여부를 확인

  • 인스턴스에 대한 로그인 엑세스 손실
  • 네트워크 엑세스로그에서 /json/setu-restore*에 대한 요청
  • 설치된 플러그인 중 알 수 없는 플러그인
    • web.shell.plugin에 대한 침해 사례 존재
  • 암호화된 파일 또는 손상된 데이터
  • confluence-adaministrators 그룹 내 새롭게 생성된 구성원(관리자가 아닌)
  • 새롭게 생성된 구성원(조직원이 아닌)

'Kant's IT > Vulnerability' 카테고리의 다른 글

Vulnerability in Acrobat Reader could lead to remote code execution; Microsoft patches information disclosure issue in Windows API  (1) 2024.09.15
보안뉴스_깃허브, 엔터프라이즈 서버에서 XML 서명 래핑 취약점 발견  (0) 2024.08.28
보안뉴스_솔라윈즈 제품에서 자격증명·원격코드 실행 취약점 발견  (0) 2024.08.28
보안뉴스_오픈소스 자동화 도구 ‘젠킨스’, 심각한 보안 취약점 발견... 8만개 영향 우려  (0) 2024.08.28
Cisco, Fortinet, VMware 제품 내 심각한 보안 취약점 패치 공개  (0) 2024.02.12

'Kant's IT/Vulnerability'의 다른글

  • 현재글Cerber Ransomware, Atlassian Conflunce 취약점(CVE-2023-22518) 이용

관련글

티스토리툴바