Pesquisadores de cibersegurança descobriram um backdoor furtivo chamado Effluence, que é implantado após a exploração bem-sucedida de uma falha de segurança recentemente divulgada no Atlassian Confluence Data Center e Server.

O malware atua como um backdoor persistente e não é remediado pela aplicação de patches no Confluence. O backdoor oferece capacidade para movimentação lateral para outros recursos de rede, além da exfiltração de dados do Confluence.

Importante destacar que os atacantes podem acessar o backdoor remotamente sem autenticação no Confluence. A cadeia de ataque documentada envolveu a exploração do CVE-2023-22515 (pontuação CVSS: 10.0), uma falha crítica no Atlassian que pode ser abusada para criar contas de administrador não autorizadas e acessar servidores Confluence.

A Atlassian divulgou também uma segunda falha conhecida como CVE-2023-22518 (pontuação CVSS: 10.0) que um atacante também pode aproveitar para configurar uma conta de administrador ilegítima, resultando em uma perda completa de confidencialidade, integridade e disponibilidade.

O que torna o ataque mais recente notável é que o adversário ganhou acesso inicial via CVE-2023-22515 e incorporou um novo web shell que concede acesso remoto persistente a todas as páginas da web no servidor, incluindo a página de login não autenticada, sem a necessidade de uma conta de usuário válida.