{"id":3154,"date":"2021-09-06T12:02:30","date_gmt":"2021-09-06T10:02:30","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3154"},"modified":"2021-09-06T12:02:30","modified_gmt":"2021-09-06T10:02:30","slug":"atlassian-confluence-attacchi-in-corso","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/atlassian-confluence-attacchi-in-corso\/","title":{"rendered":"Atlassian Confluence: attacchi in corso"},"content":{"rendered":"\n<p style=\"text-align: justify\"><strong>Atlassian Confluence<\/strong> \u00e8 un software utilizzato come spazio di lavoro, web-based, condiviso e progettato per la collaborazione fra i dipendenti in attivit\u00e0 aziendali e progetti interni.<\/p>\n<p style=\"text-align: justify\">Il <strong>25 Agosto<\/strong> Atlassian ha rilasciato un aggiornamento relativo ad una grave vulnerabilit\u00e0 di sicurezza documentato nella <strong>CVE-2021-26084, consigliando l&#8217;applicazione della patch di sicurezza al <a href=\"https:\/\/confluence.atlassian.com\/doc\/confluence-security-advisory-2021-08-25-1077906215.html\">link<\/a>. <\/strong>La CVE infatti \u00e8 relativa ad un possibile <strong>Remote Code Execution<\/strong> (RCE) con un punteggio di <strong>9.8<\/strong> sulla scala <strong>CVSS<\/strong>. Anche il <strong>US Cyber Command<\/strong> (USCYBERCOM) ha emesso un avviso che esorta le organizzazioni ad installare l&#8217;ultimo aggiornamento per chiudere la vulnerabilit\u00e0 critica di Atalssian Confluence .<br \/>Il bug consiste in una <strong>injection <\/strong>effettuata su <strong>Object-Graph Navigation Language<\/strong> (OGNL). Le verisoni di Atlassian hostate sul Cloud non risultano vulnerabili a questo bug.<\/p>\n<p style=\"text-align: justify\">Dalla scoperta e pubblicazione del bug sono stati creati molti <strong>proof-of-concepts<\/strong> che dimostrano come sfruttare tale vulnerabilit\u00e0 per ottenere l&#8217;esecuzione remota di codice arbitrario.<\/p>\n<p style=\"text-align: justify\">Fortgale ha gestito un <strong>tentativo di compromissione<\/strong> di questo applicativo in <strong>ambiente Linux<\/strong>, attivit\u00e0 rilevata e gestita senza impatti di sicurezza. Il rischio \u00e8 stato immediatamente mitigato con l&#8217;applicazione di restrizioni di accesso al server.<\/p>\n\n\n\n<h3 class=\"has-text-align-center wp-block-heading\">Compromissioni in corso<\/h3>\n\n\n\n<p style=\"text-align: justify\">Gi\u00e0 da giorno 1 Settembre, anche a causa della semplicit\u00e0 di <em>exploitation<\/em> della vulnerabilit\u00e0,\u00a0 sono state identificate <strong>scansioni massive<\/strong> per l&#8217;identificazione e<strong> compromissione dei sistemi vulnerabili<\/strong>.<\/p>\n<p style=\"text-align: justify\">La vulnerabilit\u00e0 \u00e8 stata anche sfruttata per l&#8217;installazione di <strong>cryptominers<\/strong> su sistemi <strong>Windows<\/strong> e <strong>Linux<\/strong> .<\/p>\n<p style=\"text-align: justify\">Sono stati osservati diversi comandi e script per installare <strong>XMRig<\/strong> (mining Monero):<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/www.bleepstatic.com\/images\/news\/security\/c\/confluence\/rce-miners\/powershell-command.jpg\" alt=\"\" loading=\"lazy\" \/><figcaption>Da:  <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/atlassian-confluence-flaw-actively-exploited-to-install-cryptominers\/\">Atlassian Confluence flaw actively exploited to install cryptominers (bleepingcomputer.com)<\/a> <\/figcaption><\/figure>\n\n\n\n<h2 class=\"has-text-align-center wp-block-heading\">Rischi associati<\/h2>\n\n\n\n<p style=\"text-align: justify\">La pericolosit\u00e0 di tale vulnerabilit\u00e0 \u00e8 particolarmente elevata sia per la <strong>sensibilit\u00e0 dei dati trattati<\/strong> in questo genere di sistema che per il rischio di subire attacchi molto pi\u00f9 seri con <strong>movimenti laterali<\/strong> nella rete, <strong>esfiltrazione di dati<\/strong> e <strong>attacchi Ransomware.<\/strong><\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Compromissioni in corso Rischi associati<\/p>\n","protected":false},"author":1,"featured_media":3175,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3154","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3154","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3154"}],"version-history":[{"count":0,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3154\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3154"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3154"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3154"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}