One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8604812 |
| Date de publication | 2024-11-01 20:31:49 (vue: 2024-11-01 21:07:31) |
| Titre | https://www.trendmicro.com/en_us/research/24/j/titan-network.html |
| Texte | ## Instantané Les chercheurs de Trend Micro ont identifié une attaque exploitant la vulnérabilité de la confluence Atlassian [CVE-2023-22527] (https://security.microsoft.com/intel-profiles/CVE-2023-22527), qui a permis une exécution de code à distance pour la cryptominage sur la durée de la cryptomine sur la CRISTOMINE sur leTitan Network. ## Description Les attaquants ont utilisé cette vulnérabilité pour compromettre les serveurs, exécuter des commandes et utiliser des services de recherche IP pour recueillir des informations système.Une fois la reconnaissance terminée, les attaquants ont téléchargé des scripts de shell pour installer des binaires Titan, établissant une pied en configurant des appareils pour agir comme des nœuds Titan Edge liés à l'identité des attaquants \\ '.Ces machines se sont ensuite connectées au Cassini Testnet, une blockchain déléguée de preuve de preuve (DPOS), permettant aux attaquants de gagner des récompenses. Les attaquants ont déployé plusieurs scripts de shell pour s'assurer que les binaires fonctionnaient en continu, modifié les chemins de bibliothèque du système \\ et configuré le client «Aleo-Pool» pour se connecter au «pool Zkrush» pour la cryptomiminage.Pour se préparer au mouvement latéral dans l'environnement Amazon Web Services (AWS), les attaquants ont déployé une clé publique SSH et modifié le fichier de configuration SSH, permettant des connexions aux instances AWS EC2.De plus, ils ont implémenté un shell inversé bash pour maintenir la communication de commande et de contrôle sur le port TCP 80. ## Analyse Microsoft et contexte OSINT supplémentaire Microsoft suit cette vulnérabilité de cette exécution de code distant (RCE) en tant que CVE-2023-22527.Cette vulnérabilité d'injection de modèle de navigation graphique d'objet (OGNL) affecte le centre de données de confluence et les versions du serveur 8.x, publiées avant le 5 décembre 2023 et permet l'exécution du code distant par des attaquants non authentifiés.L'exploitation implique l'envoi d'une demande de poste HTTP spécialement conçue à la `/ modèle / aui / text-inline.vm` uri, qui permet l'injection de commande.Les indicateurs de compromis incluent le serveur Confluence lancement d'un processus de ligne de commande, tel que Bash ou CMD.exe.Le CVE-2023-22527 a été ajouté à la [base de données de vulnérabilité connue] (https://nvd.nist.gov/vuln/detail/cve-2023-22527?trk=public_post_comment-text) en janvier 2024 après l'exploitation active dans l'observation dans lela sauvage.CISA avertit que les versions du centre de données Atlassin Confluence et du serveur 8.0.0 à 8.5.3 sont affectées par cette vulnérabilité et que des mesures imméidantes doivent être prises. ## Recommandations Passez à la mise à niveau des versions suivantes ou plus récentes pour aborder cette vulnérabilité. - 8.5.5 Support à long terme - 8.7.2 (centre de données uniquement) Téléchargez la dernière version Confluence à partir des [Confluence Download Archives] (https://www.atlassian.com/software/confluence/download-archives) et suivez les étapes de mise à niveau fournies par [Confluence Support] (https: //confluence.atlassian.com / doc / mise à niveau-confluence-4578.html) pour corriger cette vulnérabilité. ## références [L'attaquant abuse des ressources de victime pour récolter les récompenses du Titan Network] (https://www.trendmicro.com/en_us/research/24/j/titan-network.html).Trendmicro (consulté en 2024-11-01). [CVE-2023-22527- ATLASSIAN Confluence non authentifiée injection OGNL] (https: // Security.microsoft.com / Intel-Profiles / CVE-2023-22527).Microsoft (consulté en 2024-11-01). [CVE-2023-22527] (https://www.cve.org/cverecord?id=CVE-2023-22527).CISA (consulté en 2024-11-01). ## Copyright **&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Micr |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | **© 2023 2024 2024** 22527 4578 `/template/aui/text abuses accessed act action active added additional additionally address affects after all allowed allowing amazon analysis any archives are atlassian atlassin attack attacker attackers aws bash binaries blockchain cassini center cisa client cmd code com/doc/upgrading com/en com/intel com/software/confluence/download command commands comment communication complete compromise configuration configured configuring confluence connect connected connections content context continuously control copyright crafted cryptomining cve data database december delegated deployed description devices distribution download downloaded dpos earn ec2 edge enables enabling ensure environment establishing exe executing execution exploitation exploiting file follow following foothold from gather gov/vuln/detail/cve graph html http https://confluence https://nvd https://security https://www id=cve identified identity immeidate impacted implemented include indicators information injection inline install instances involves january key known language lateral latest launching library line long lookup machines maintain micro microsoft modified movement navigation network newer nist nodes object observed ognl only operated org/cverecord osint over part paths permission permits pool” port post prepare prior process profiles/cve prohibited proof provide public rce reap recommendations reconnaissance references released remediate remote reproduction request researchers reserved resources reverse rewards rights scripts sending server servers services several shell should site snapshot specially ssh stake steps such support system taken tcp template term testnet text then thereof these tied titan tracks trend trendmicro trk=public unauthenticated upgrade uri us/research/24/j/titan used using version versions victim vm` vulnerabilitty vulnerability warns web which wild within without written “aleo “zkrush |
| Tags | Vulnerability Prediction |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.