关键的 Atlassian 0-day 正在被积极利用。 你打补丁了对吧?
大约在上周的这个时候,攻击者开始悄悄地利用 Atlassian 软件中一个以前未知的漏洞,使他们几乎可以完全控制少量服务器。 自周四以来,对该漏洞的积极利用如雨后春笋般涌现,在相互竞争的犯罪集团之间造成了半有组织的狂热。
安全公司 Volexity 的总裁 Steven Adair 说:“很明显,多个威胁团体和个人参与者都拥有该漏洞,并且一直在以不同的方式使用它。阵亡将士纪念日周末。 “有些很草率,有些则比较隐蔽。” 他的推文是在他的公司发布详细说明该漏洞的报告后的第二天发布的。
很明显,多个威胁团体和个体参与者都拥有该漏洞,并且一直在以不同的方式使用它。 有些很草率,有些则比较隐蔽。 将类文件加载到内存中并编写 JSP shell 是我们迄今为止看到的最流行的方法。
– 史蒂文·阿代尔 (@stevenadair) 2022 年 6 月 3 日
Adair 还表示,受到打击的垂直行业“非常普遍。 这是一个免费的,剥削似乎是协调的。”
CVE-2022-26134,随着漏洞的跟踪,允许在运行所有受支持版本的 Confluence Server 和 Confluence Data Center 的服务器上执行未经身份验证的远程代码。 Volexity 在其公告中称该漏洞“危险且被轻易利用”。 安全公司 Rapid7 表示,该漏洞可能也存在于不受支持和长期支持的版本中。
Volexity 研究人员写道:
在最初分析该漏洞时,Volexity 指出它看起来与以前的漏洞相似,这些漏洞也被利用以获得远程代码执行。 这些类型的漏洞是危险的,因为只要可以向 Confluence Server 系统发出 Web 请求,攻击者就可以在没有凭据的情况下执行命令并完全控制易受攻击的系统。 还应该注意的是,CVE-2022-26134 似乎是另一个命令注入漏洞。 这种类型的脆弱性很严重,需要引起高度重视。
威胁参与者正在利用该漏洞安装 Chopper webshell 和可能的其他类型的恶意软件。 希望脆弱的组织已经修补或以其他方式解决了这个漏洞,如果没有,祝他们本周末好运。 Atlassian 的建议在这里。
资源