US Cybercom har udsendt en offentlig meddelelse, der advarer it-teams om, at CVE-2021-26084-relateret til Atlassian Confluence-aktivt udnyttes.
“Masseudnyttelse af Atlassian Confluence CVE-2021-26084 er i gang og forventes at accelerere. Lapp venligst med det samme, hvis du ikke allerede har gjort det-dette kan ikke vente til efter weekenden, “sendte US Cybercom i en tweet fredag inden weekenden på Labor Day weekend .
En række it -ledere tog til sociale medier for at bekræfte, at det faktisk blev udnyttet.
Atlassian offentliggjorde en rådgivning om sårbarheden den 25. august og forklarede, at den “kritiske sværhedsgrad for sikkerhedssikkerheden” blev fundet i Confluence Server og datacenterversioner før version 6.13.23, fra version 6.14.0 før 7.4.11, fra version 7.5.0 før 7.11.6 og fra version 7.12.0 før 7.12.5.
“Der findes en sårbarhed ved en OGNL -indsprøjtning, der gør det muligt for en godkendt bruger og i nogle tilfælde uautentificeret bruger at eksekvere vilkårlig kode på en Confluence Server eller Data Center -forekomst. Alle versioner af Confluence Server og Data Center før de ovenstående faste versioner påvirkes. ved denne sårbarhed, “sagde virksomheden i sin rådgivning.
De opfordrede it -teams til at opgradere til den seneste Long Term Support -udgivelse og sagde, at hvis det ikke er muligt, er der en midlertidig løsning.
“Du kan afhjælpe problemet ved at køre scriptet herunder til det operativsystem, som Confluence hostes på,” hedder det i meddelelsen.
Sårbarheden påvirker kun on-premise servere, ikke dem, der er hostet i skyen.
Flere forskere har illustreret, hvordan sårbarheden kan udnyttes og frigive proof-of-koncepter, der viser, hvordan den arbejder.
Dårlige pakker sagde, at de “opdagede massescanning og udnyttede aktiviteter fra værter i Brasilien, Kina, Hongkong, Nepal, Rumænien, Rusland og USA, der var målrettet mod Atlassian Confluence -servere, der var sårbare over for fjernudførelse af kode.”
Censys forklarede i et blogindlæg, at deres team i løbet af de sidste par dage har “set et lille skift i antallet af sårbare servere, der stadig kører på det offentlige internet.”
“Den 31. august identificerede Censys 13.596 sårbare konfluensforekomster, mens det i september 02 er faldet til 11.689 sårbare tilfælde,” sagde Censys.
Virksomheden forklarede, at Confluence er en “bredt udbredt Wiki -tjeneste, der primært bruges i samarbejdende virksomhedsmiljøer”, og at den i de senere år “er blevet defacto -standarden for virksomhedsdokumentation i løbet af det sidste årti.”
“Mens størstedelen af brugerne kører den administrerede service, vælger mange virksomheder at implementere softwaren on-prem. Den 25. august blev en sårbarhed i Atlassians Confluence-software offentliggjort. En sikkerhedsforsker ved navn SnowyOwl (Benny Jacob) fandt ud af, at en ikke-godkendt bruger kunne køre vilkårlig kode ved at målrette HTML-felter fortolket og gengivet af Object-Graph Navigation Language (OGNL), “sagde bloggen.
“Ja, det er den samme klasse af sårbarheder, der blev brugt i Equifax -bruddet tilbage i 2017. Bare få dage før denne sårbarhed blev offentliggjort, viste vores historiske data, at internettet havde over 14.637 udsatte og sårbare Confluence -servere. Sammenlign det med den nuværende dag 1. september, hvor Censys identificerede 14.701 tjenester, der selvidentificerede som en Confluence-server, og af dem, 13.596 porte og 12.876 individuelle IPv4-værter kører en udnyttelig version af softwaren. “
Et Censys -diagram, der viser, hvor mange servere der stadig er sårbare.
Censys
“Der er ingen måde at sige det let på: dette er dårligt. I første omgang sagde Atlassian, at dette kun kunne udnyttes, hvis en bruger havde en gyldig konto på systemet. Dette viste sig at være forkert, og rådgivningen blev opdateret i dag for at afspejle de nye oplysninger . Det er kun et spørgsmål om tid, før vi begynder at se aktiv udnyttelse i naturen, da der allerede er fundet arbejdende bedrifter spredt rundt, “tilføjede Censys.
Yaniv Bar-Dayan, administrerende direktør for Vulcan Cyber, sagde til ZDNet, at sikkerhedsteams skal bekæmpe ild med ild, mens de arbejder på at prioritere og afhjælpe denne sammenløbsfejl.
Angribere bør ikke være de første til at automatisere scanninger efter denne udnyttelse, og forhåbentlig er it-sikkerhedsteam foran deres modstandere i proaktivt at identificere tilstedeværelsen af denne sårbarhed og tager skridt til at afbøde, sagde Bar-Dayan.
“I betragtning af Atlassian Confluence's karakter, er der en meget reel chance for, at komponenter på platformen bliver eksponeret på internettet,” tilføjede Bar-Dayan.
“Det betyder, at angriberne ikke har brug for intern netværksadgang for at udnytte RCE -sårbarheden. En patch er tilgængelig, og administratorer bør implementere den med ekstra hast, samtidig med at de overvejer andre afbødende handlinger, såsom at sikre, at der ikke er offentlig adgang tilgængelig for Confluence Server og tjenester. “
BleepingComputer bekræftede torsdag, at nogle trusselsaktører installerer kryptominere på både Windows og Linux Confluence -servere ved hjælp af sårbarheden.
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at forhindre, at angreb bliver værre? (ZDNet YouTube)
Relaterede emner:
Hardware Security TV Data Management CXO Data Centers 