Des attaquants exploitent activement une vulnérabilité affectant Confluence pour déployer le ransomware Gandcrab

Des attaquants exploitent activement une vulnérabilité affectant Confluence pour déployer le ransomware Gandcrab

Le 20 mars 2019, la société Atlassian a révélé que plusieurs vulnérabilités avaient été corrigées dans son produit Confluence. L’une d’entre elles, référencée CVE-2019-3396 , permettait à un attaquant de prendre le contrôle du système affecté (cf. CXA-2019-1365 ).

Des chercheurs de la société Alert Logic ont découvert que des attaquants avaient développé un code d’exploitation pour cette vulnérabilité et avaient lancé une campagne d’attaques ciblant les systèmes affectés. Il aurait été développé à partir d’une preuve de concept publiée le 10 avril 2019.

Les attaquants exploitent la vulnérabilité pour exécuter un script PowerShell dont le rôle est de déployer le ransomware Gandcrab sur le système cible.

La méthodologie employée par l’attaquant pour procéder à l’infection comporte plusieurs mécanismes visant à compliquer la détection des opérations malveillantes.

Le choix d’utiliser un ransomware peut sembler surprenant tant ce type de malware semble avoir été supplanté par les mineurs de cryptomonnaies (cf. CXN-2018-2747 et CXN-2018-1278 ).
Les chercheurs estiment que ce choix pourrait être motivé par la cible.
En effet, Confluence est un logiciel visant à améliorer la collaboration entre les participants à un projet. Des informations importantes sont donc susceptibles d’être renseignées dans l’application, augmentant la probabilité que l’entreprise paye la rançon pour les retrouver au plus vite.

Une analyse technique complète est disponible à l’adresse suivante : https://blog.alertlogic.com/active-exploitation-of-confluence-vulnerability-cve-2019-3396-dropping-gandcrab-ransomware/.


Clément Mezino

Consultant Cert-XMCO