Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

취약점 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2019-3396] 최신 취약점을 이용한 마이닝 캠페인
작성일 2019-04-16 조회 818

 

 


Atlassian 의 Confluence 위젯 커넥터 취약점은 CVE-2019-3396 에 대해 패치를 진행 하였습니다.
진행 된 패치는 Atlassian severity levels 에 의해 critical 이 할당 되었습니다.

 

패치 이후에 Knownsec 404 Team 에 의해 취약점과 POC가 같이 공개되었습니다.
해당 팀에서 공개한 POC 이외에 취약점을 이용한 다수의 POC가 만들어지고 공개되어 있습니다.

 

이와 관련하여 윈스 분석팀에서 해당 취약점을 이용한 마이닝 공격을 탐지하여 추적하고 있습니다.

 

[용어 설명]
* Atlassian Confluence
아틀라시안에서 개발한 자바 기반의 상용 위키 소프트웨어, 서버에 설치하여 사용하거나 (JSP로 작성되어 있고 아파치 톰캣을 통해서 구동) 클라우드 형태로 이용 가능하다. JIRA 등 아틀라시안에서 제공되는 타 솔루션들과 연동되어 협업 환경이 구축된다.

 


취약점 설명

 

Widget Connector vulnerability - CVE-2019-3396

 

Confluence Server 및 Data Center의 위젯 커넥터에는 서버 측 템플릿 삽입 취약점이 존재합니다.
공격자는 취약한 버전의 Confluence 서버 또는 데이터 센터를 실행하는 시스템에서 서버 측 템플릿 주입,
경로 통과 및 원격 코드 실행을 달성하기 위해이 문제를 악용 할 수 있습니다.

 


취약점 분석

 

패치 버전과, 패치 이전 버전을 비교하여 취약점에 대한 확인이 가능합니다.
- 왼쪽 : 6.14.0 버전에서 사용하는 widgetconnector-3.1.3 의 WidgetMacro.java 파일
- 오른쪽 : 6.14.3 버전에서 사용하는 widgetconnector-3.1.4 의 WidgetMacro.java 파일

 

doSanitizeParameters(parameters); 을 통해 특정 파라미터에 대한 검증 부분이 추가 된 내역을 확인 할 수 있습니다.
해당 doSanitizeParameters 함수를 통해 최종적으로 "_template" 라는 매개변수를 확인 할 수 있습니다.

 

[그림1. 패치 전 후 비교]

 

Confluence 에서는 외부 링크가 로드되면 상대 템플릿이 호출되어 렌더링 됩니다.
템플릿의 경로는 일반적으로 하드 코딩되어 내부자료를 사용하지만,
패치를 통해 악의적인 공격자는 내부 템플릿이 아닌 외부에서 템플릿을 삽입 할 수 있다는 것을 확인 할 수 있습니다.

 

[그림2. 내부 저장된 템플릿]

 

실제 "_template" 변수는 전달된 url을 Preview 할 때 사용 되는 것을 확인 할 수 있습니다.
대부분 하드 코딩되어 있는 템플릿을 사용하게 되어있지만, Youtube, Viddler 등의 예외가 존재합니다.

 

[그림3. 외부 템플릿이 사용 가능한 목록]

 

하드코딩을 우회할 수 있는 url 과 file://, http://, https://, ftp:// 를 이용하여 원격에서 템플릿 삽입이 가능하며,
원격 코드 실행이 가능한 페이로드를 이용하여 악용 합니다.

 

사용 가능한 페이로드 목록

[그림4. 사용 가능한 페이로드]

 

 

POC 분석
 

공개 된 초기 POC의 경우
요청되는 "_template" 값에 "/WEB-INF/classes" path 경로가 추가되어 발생 하게 되며,
normalizePath 함수로 전달 된 값에 대해 "../" 에 대한 필터링이 존재하지 않는 점을 악용합니다.
- web.xml 파일 요청

 

[그림5. 공개된 POC]

 

[그림6. Github에 공개되어 있는 POC 목록]

 


공격 분석
 

2019년 4월 13일에 최초로 해당 취약점을 이용한 공격이 확인되었고,
이후 지속적으로 해당 공격에 대해 추적 하였습니다.

 

공격자들은 취약점을 이용하여 마이닝을 시도하였으며,
현재에도 지속적으로 유포경로를 변경하여 추적을 회피하고있습니다.

 

취약점에 대한 패치가 2019년 3월 20일에 공개되었고, 이에 대한 취약점 분석이 2019년 4월 10일에 완료 된것을
감안할때 공격자들이 빠르게 최신 취약점을 악용하고 있습니다.

 

[그림7. 공격 탐지 내역]

 

탐지 된 공격 내역을 기반으로 실제 다운로드 되는 악성 스크립트를 분석 하였습니다.
- 기존에 /tmp/baby 형태의 파일이 존재하는 경우 전부 삭제
- 다운로드 이후에 해당 파일을 /tmp/baby 로 생성
- FTP 를 이용하여 RCE 시도

 

[그림8. 탐지 내역 상세(CVE-2019-3396 이용)]

 

[그림9. 악성 페이로드를 이용 하여 악성 스크립트 다운로드]

 

[그림10. 유포 경로 도식화]

 

실행도 동일하게 FTP를 및 페이로드를 이용하여 시도하였습니다.

 

[그림11. baby.vm 템플릿 이용하여 실행 시도]

 

[그림12. baby.vm 페이로드 내역]

 

최종 다운로드 되는 스크립트를 통해 마이닝(채굴)을 시도하며,
"jeff4r-partner@tutanota.com" 에 접촉 하면 정리스크립트나, 패치를 제공해 줄수 있다고 하며,
파트너쉽도 가능하다는 메시지를 포함하고 있습니다.

 

랜섬웨어 처럼 서비스 형태로 채굴을 판매하려는 시도로 판단 됩니다.

 

[그림13. 메시지 내역]

 

정상적인 Xmrig 공식 Github 사이트에서 파일 다운로드 하며,
(hxxps://github.com/xmrig/xmrig/releases/download/v2.14.0/xmrig-2.14.0-xenial-x64.tar.gz)

 

다운로드 이후에 실행하여 채굴 결과를 마이닝 Pool 사이트에 본인의 지갑주소를 가지고 전달 합니다.


[그림14. 채굴 파일 다운로드 내역]

 

[그림15. 마이닝 Pool 및 본인 공격자 지갑 주소]

 

 

* 최종 다운로드 되는 악성 스크립트는 추후 상세 분석을 통해 행위에 대해 상세히 공유드리겠습니다.

-> crontab 설정 등

 

랜섬웨어가 Ransomware as a service(RaaS) 로 진화 된 것처럼 채굴 역시 서비스 형태로 발전 할 수 있는 가능성을 보여 주었습니다.


2019년 4월 1일 이전에 동일한 공격자가 공격에 성공한 내역을 확인하였습니다

(현재는 사용하지 못한다는 Jeff4r190@tutanota.com를 이용)
공격자는 지속적이며, 빠르게 공격을 발전시키고 있으므로 주의가 필요 합니다.

 


취약점 대응 방안
 

1. 보안 패치 적용

해당 벤더사에서 발표한 보안 권고문을 참고하여 패치를 적용합니다.

[ Atlassian 보안 권고] 

https://jira.atlassian.com/browse/CONFSERVER-57974


 

2. WINS Sniper 대응 방안

 

*Sniper IPS

[3973] Win32/Miner.Monero.Connection
[3974] Win32/Miner.Monero.Connection.A
[3975] Win32/Miner.Monero.Connection.B
[3986] Win32/Miner.Monero.Connection.E
[4012] Win32/Miner.Monero.Connection.F
[4013] Win32/Miner.Monero.Connection.G
[4014] Win32/Miner.Monero.Connection.H
[4060] Win32/Miner.Monero.Connection.Q 
[4130] Win32/Miner.XMRig.Generic
[4303] Win32/Miner.XMRig.Connection
[4304] Win32/Miner.XMRig.Connection.A
[4734] Atlassian Confluence Widget Connector RCE
[4735] Atlassian Confluence Widget Connector RCE.A
[4736] Atlassian Confluence Widget Connector RCE.B
[4737] Atlassian Confluence Widget Connector RCE.C
[4738] Atlassian Confluence Widget Connector RCE.D
[4739] Atlassian Confluence Widget Connector RCE.E

 

*Sniper UTM

[838861358] Win32/Miner.Monero.Connection
[838861360] Win32/Miner.Monero.Connection.A
[838861361] Win32/Miner.Monero.Connection.B
[838861365] Win32/Miner.Monero.Connection.E
[838861370] Win32/Miner.Monero.Connection.F
[838861371] Win32/Miner.Monero.Connection.G
[838861374] Win32/Miner.Monero.Connection.H
[838861437] Win32/Miner.Monero.Connection.Q 
[838861418] Win32/Miner.XMRig.Generic
[838861478] Win32/Miner.XMRig.Connection
[838861479] Win32/Miner.XMRig.Connection.A

[805374870] Atlassian Confluence Widget Connector RCE

 

*Sniper APTX

[3181] Win32/Miner.Monero.Connection
[3183] Win32/Miner.Monero.Connection.A
[3184] Win32/Miner.Monero.Connection.B
[3195] Win32/Miner.Monero.Connection.E
[3233] Win32/Miner.Monero.Connection.F
[3234] Win32/Miner.Monero.Connection.G
[3235] Win32/Miner.Monero.Connection.H
[3401] Win32/Miner.Monero.Connection.Q 
[3368] Win32/Miner.XMRig.Generic
[3555] Win32/Miner.XMRig.Connection
[3556] Win32/Miner.XMRig.Connection.A

[4006] Atlassian Confluence Widget Connector RCE
[4007] Atlassian Confluence Widget Connector RCE.A
[4008] Atlassian Confluence Widget Connector RCE.B
[4009] Atlassian Confluence Widget Connector RCE.C
[4010] Atlassian Confluence Widget Connector RCE.D
[4011] Atlassian Confluence Widget Connector RCE.E

 


IOC 정보
 

페이로드 파일
8cfab56c8ed3c009efaa1e6fd151f49d
73a38f96228abb2b7527b404d492723e
2ab224f7151a4c242b3df713523a0e75

 

최종 다운로드 되는 악성 스크립트 및 파일
26be82323287806caa07577a9652e662

de22d58defa485e55f9bf4ec9b1bd5a1

 

공격자 IP 정보
51.68.191.48(독일)

185.193.125.146(스웨덴)

이외 다수의 해외 IP

 

유포지 IP 정보

51.68.191.48(독일)

51.38.133.232(폴란드)

155.138.247.51(미국)

51.15.56.161(네덜란드)

 

유포지 URL 정보

hxxps://747f9d59.ngrok.io

hxxps://pastebin.com/raw/DzgYb9mu

hxxps://pastebin.com/raw/0DSHCLKC

hxxps://pastebin.com/raw/4ixrwJQh

hxxps://pastebin.com/raw/B5BTS5fm

hxxps://pastebin.com/raw/rCH1w8c4

 

참고
https://paper.seebug.org/886/
https://github.com/knownsec/pocsuite3/blob/master/pocsuite3/pocs/20190404_WEB_Confluence_path_traversal.py

 

 

첨부파일 첨부파일이 없습니다.
태그 CVE-2019-3396  Confluence   마이닝  _template  jeff4r-partner@tutanota.com