Недостаток Atlassian Confluence активно используется для установки криптомайнеров

29
S4 Capital Мартина Соррелла приобретает группу технологических услуг Zemoga

Хакеры активно сканируют и используют недавно обнаруженную уязвимость удаленного выполнения кода Atlassian Confluence для установки криптомайнеров после публичного выпуска эксплойта PoC.

Atlassian Confluence – это очень популярное корпоративное рабочее пространство в сети, которое позволяет сотрудникам совместно работать над проектами.

25 августа Atlassian выпустила рекомендацию по безопасности для уязвимости Confluence удаленного выполнения кода (RCE), отслеживаемой как CVE-2021-26084, что позволяет злоумышленнику, не прошедшему проверку подлинности, удаленно выполнять команды на уязвимом сервере.

«Существует уязвимость внедрения OGNL, которая позволяет аутентифицированному пользователю, а в некоторых случаях и неавторизованному пользователю, выполнять произвольный код на сервере Confluence или экземпляре центра обработки данных», – поясняет рекомендация Atlassian CVE-2021-26084 .

«Все версии Confluence Server и Data Center, предшествующие фиксированным версиям, перечисленным выше, подвержены этой уязвимости».

Atlassian выпустила исправления для уязвимостей и рекомендует пользователям перейти на версию с долгосрочной поддержкой.

Серверы Confluence активно эксплуатируются

Через шесть дней после того, как Atlassian выпустила рекомендацию, исследователи опубликовали техническую рецензию с объяснением уязвимости, и был публично выпущен экспериментальный эксплойт.

Этот эксплойт PHP PoC очень прост в использовании и в случае успеха выполнит команду на целевом сервере. Например, злоумышленники могут использовать эти команды для загрузки другого программного обеспечения, такого как веб-оболочки, или запуска программы на эксплуатируемом сервере.

Вскоре после публикации статьи и PoC компании, занимающиеся кибербезопасностью, начали сообщать, что злоумышленники и исследователи безопасности активно сканируют и используют уязвимые серверы Confluence.

Например, технический директор Коалиции Тиаго Энрикес обнаружил, что тестеры на проникновение пытались найти уязвимости на серверах Confluence, вероятно, для получения вознаграждения за обнаружение ошибок.

Однако компания Bad Packets, занимающаяся разведкой в ​​области кибербезопасности, увидела более гнусную деятельность, когда злоумышленники из разных стран использовали серверы для загрузки и запуска сценариев оболочки PowerShell или Linux.

Из образцов эксплойтов, опубликованных Bad Packets, BleepingComputer подтвердил, что злоумышленники пытаются установить криптомайнеры как на серверы Windows Confluence, так и на Linux.

В то время как текущие атаки используются просто для добычи криптовалюты, нет причин, по которым злоумышленники не могут использовать ее для более сложных атак, особенно если сервер слияния размещен локально.

Эти атаки могут включать латеральное распространение по сети, атаки программ-вымогателей и кражу данных.

Если ваша организация использует сервер Confluence, настоятельно рекомендуется как можно скорее установить последние обновления.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here