美国网络司令部周五警告说,针对影响Atlassian Confluence部署的现已修补的关键安全漏洞正在野外正在进行大规模的利用尝试,未经身份验证的攻击者可能会滥用该漏洞来控制易受攻击的系统。
“对Atlassian ConfluenceCVE-2021-26084的大规模利用正在进行中,预计会加速,”网络国家任务部队(CNMF)在一条推文中说。美国网络安全和基础设施安全局(CISA)和Atlassian本身也在一系列独立咨询中回应了这一警告。
Bad Packets在Twitter上指出,它“检测到来自巴西、中国、香港、尼泊尔、罗马尼亚、俄罗斯和美国的主机的大规模扫描和利用活动,目标是容易受到远程代码执行影响的Atlassian Confluence服务器。”
AtlassianConfluence是一个广受欢迎的基于Web的文档平台,它允许团队在不同的项目上创建、协作和组织,提供了一个在企业环境中共享信息的通用平台。它的客户包括奥迪、Docker、GoPro、Hubspot、LinkedIn、Morningstar、NASA、纽约时报和Twilio等几家大公司。
这家澳大利亚公司在8月25日针对OGNL(Object-Graph Navigation Language)注入缺陷推出了安全更新,在特定情况下,可以利用这一缺陷在Confluence服务器或数据中心实例上执行任意代码。
换句话说,攻击者可以利用这个弱点来执行与运行服务的用户具有相同权限的任何命令,更糟糕的是,滥用访问权限以获得更高的管理权限,从而使用未修补的本地漏洞对主机进行进一步攻击。
该漏洞被分配了标识符CVE-2021-26084,在CVSS评分系统上的严重性等级为9.8分(满分10分),影响6.13.23之前的所有版本,从7.4.11之前的版本6.14.0,从7.11.6之前的7.5.0版,以及7.12.5之前的7.12.0版。
在补丁发布后的几天里,在本周早些时候公开发布了一个概念验证(PoC)漏洞后,多个威胁者抓住机会利用该漏洞,诱使潜在受害者大规模扫描脆弱的Confluence服务器并安装恶意加密挖矿工具。参与其中的研究人员之一Rahul Maini将开发CVE-2021-26084漏洞的过程描述为“比预期的相对简单”。