US Cybercom har skickat ut ett offentligt meddelande som varnar IT-team om att CVE-2021-26084-relaterat till Atlassian Confluence-aktivt utnyttjas.
“Massutnyttjande av Atlassian Confluence CVE-2021-26084 pågår och förväntas accelerera. Lappa omedelbart om du inte redan har gjort det-det kan inte vänta förrän efter helgen “, skickade US Cybercom ut i en tweet på fredagen före helgdag på Labor Day. .
Ett antal IT -ledare tog sig till sociala medier för att bekräfta att det verkligen utnyttjades.
Atlassian släppte ett råd om sårbarheten den 25 augusti och förklarade att “säkerhetsproblemet för kritisk allvarlighetsgrad” hittades i Confluence Server och datacenterversioner före version 6.13.23, från version 6.14.0 före 7.4.11, från version 7.5.0 före 7.11.6 och från version 7.12.0 före 7.12.5.
“Det finns en sårbarhet för OGNL -injektion som gör att en autentiserad användare, och i vissa fall oautentiserad användare, kan utföra godtycklig kod på en Confluence Server- eller Data Center -instans. Alla versioner av Confluence Server och Data Center före de fasta versionerna som anges ovan påverkas. av denna sårbarhet, “sade företaget i sin rådgivning.
De uppmanade IT -team att uppgradera till den senaste långsiktiga supportversionen och sa att om det inte är möjligt finns det en tillfällig lösning.
“Du kan mildra problemet genom att köra skriptet nedan för operativsystemet som Confluence är värd för”, stod det i meddelandet.
Sårbarheten påverkar bara lokala servrar, inte de som finns i molnet.
Flera forskare har illustrerat hur sårbarheten kan utnyttjas och släppa bevis på koncept som visar hur den Arbetar.
Dåliga paket sa att de “upptäckte massskanning och utnyttjar aktivitet från värdar i Brasilien, Kina, Hongkong, Nepal, Rumänien, Ryssland och USA som riktar sig till Atlassian Confluence -servrar som är sårbara för fjärrkörning av kod.”
Censys förklarade i ett blogginlägg att deras team under de senaste dagarna har “sett en liten förändring i antalet sårbara servrar som fortfarande körs på det offentliga internet.”
“Den 31 augusti identifierade Censys 13 596 sårbara sammanflödesinstanser, medan den 2 september har antalet minskat till 11 689 sårbara fall”, säger Censys.
Företaget förklarade att Confluence är en “utbredd Wiki -tjänst som främst används i samarbetsvilliga företagsmiljöer” och att den på senare år “har blivit defacto -standarden för företagsdokumentation under det senaste decenniet.”
“Medan majoriteten av användarna driver den hanterade tjänsten väljer många företag att distribuera programvaran på plats. Den 25 augusti offentliggjordes en sårbarhet i Atlassians Confluence-programvara. En säkerhetsforskare vid namn SnowyOwl (Benny Jacob) fann att en oautentiserad användare kunde köra godtycklig kod genom att rikta in sig på HTML-fält som tolkas och återges av Object-Graph Navigation Language (OGNL), “sa bloggen.
“Ja, det är samma klass av sårbarhet som användes vid Equifax -intrånget 2017. Bara några dagar innan denna sårbarhet offentliggjordes visade våra historiska data att internet hade över 14 637 exponerade och sårbara Confluence -servrar. Jämför det med nuvarande dag , 1 september, där Censys identifierade 14 701 tjänster som själv identifierade sig som en sammanflytningsserver, och av dessa, 13 596 portar och 12 876 enskilda IPv4-värdar kör en exploaterbar version av programvaran. “
Ett Censys -diagram som visar hur många servrar som fortfarande är sårbara.
Censys
“Det finns inget sätt att uttrycka detta lätt: det här är dåligt. Inledningsvis sa Atlassian att detta bara var användbart om en användare hade ett giltigt konto på systemet. Detta visade sig vara felaktigt och rådgivningen uppdaterades idag för att återspegla den nya informationen . Det är bara en tidsfråga innan vi börjar se aktiv exploatering i naturen, eftersom det redan har funnits arbetande bedrifter spridda runt, säger Censys.
Yaniv Bar-Dayan, VD för Vulcan Cyber, sa till ZDNet att säkerhetsteam måste bekämpa eld med eld när de arbetar för att prioritera och åtgärda denna sammanflödesfel.
Angripare ska inte vara de första som automatiserar skanningar efter detta utnyttjande och förhoppningsvis ligger IT-säkerhetsteam före sina motståndare när de proaktivt identifierar förekomsten av denna sårbarhet och vidtar åtgärder för att mildra, sa Bar-Dayan.
“Med tanke på karaktären av Atlassian Confluence finns det en mycket verklig chans att komponenter på plattformen exponeras på internet”, tillade Bar-Dayan.
“Detta innebär att angripare inte behöver intern nätverksåtkomst för att utnyttja RCE -sårbarheten. En korrigeringsfil är tillgänglig och administratörer bör distribuera den med extra hast samtidigt som de överväger andra mildrande åtgärder, till exempel att säkerställa att ingen allmän åtkomst är tillgänglig för Confluence Server och tjänster. “
BleepingComputer bekräftade på torsdagen att vissa hotaktörer installerar kryptominers på både Windows- och Linux Confluence -servrar som använder sårbarheten.
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker att bli värre? (ZDNet YouTube)
Relaterade ämnen:
Hardware Security TV Data Management CXO Data Center 