US Cybercom har sendt ut en offentlig melding som advarer IT-team om at CVE-2021-26084-relatert til Atlassian Confluence-aktivt blir utnyttet.
“Masseutnyttelse av Atlassian Confluence CVE-2021-26084 pågår og forventes å akselerere. Vennligst lapp umiddelbart hvis du ikke allerede har gjort det-dette kan ikke vente til etter helgen, “sendte US Cybercom ut i en tweet fredag i forkant av helgens ferie på Labor Day. .
En rekke IT -ledere tok til sosiale medier for å bekrefte at det faktisk ble utnyttet.
Atlassian ga ut en veiledning om sårbarheten 25. august, og forklarte at “sikkerhetsproblemet med kritisk alvorlighetsgrad” ble funnet i Confluence Server og datasenterversjoner før versjon 6.13.23, fra versjon 6.14.0 før 7.4.11, fra versjon 7.5.0 før 7.11.6 og fra versjon 7.12.0 før 7.12.5.
“Det finnes et sårbarhet for OGNL -injeksjon som gjør at en godkjent bruker, og i noen tilfeller ikke -godkjent bruker, kan utføre vilkårlig kode på en Confluence Server eller Data Center -forekomst. Alle versjoner av Confluence Server og Data Center før de faste versjonene som er oppført ovenfor, påvirkes. av denne sårbarheten, “sa selskapet i sin rådgivning.
De oppfordret IT -team til å oppgradere til den siste versjonen av langsiktig support og sa at hvis det ikke er mulig, er det en midlertidig løsning.
“Du kan redusere problemet ved å kjøre skriptet nedenfor for operativsystemet som Confluence er vert for,” heter det i meldingen.
Sårbarheten påvirker bare servere på stedet, ikke de som er vert i skyen.
Flere forskere har illustrert hvordan sårbarheten kan utnyttes og frigjøre bevis på begreper som viser hvordan den virker.
Bad Packets sa at de “oppdaget masseskanning og utnytter aktivitet fra verter i Brasil, Kina, Hong Kong, Nepal, Romania, Russland og USA som er rettet mot Atlassian Confluence -servere som er sårbare for ekstern kjøring av kode.”
Censys forklarte i et blogginnlegg at teamet de siste dagene har “sett et lite skifte i antall sårbare servere som fremdeles kjører på det offentlige internett.”
“31. august identifiserte Censys 13 596 sårbare Confluence -forekomster, mens 02. september har tallet redusert til 11 689 sårbare tilfeller,” sa Censys.
Selskapet forklarte at Confluence er en “utbredt Wiki -tjeneste som hovedsakelig brukes i samarbeidende bedriftsmiljøer” og at den de siste årene “har blitt defacto -standarden for virksomhetsdokumentasjon det siste tiåret.”
“Mens flertallet av brukerne driver den administrerte tjenesten, velger mange selskaper å distribuere programvaren on-prem. 25. august ble en sårbarhet i Atlassians Confluence-programvare offentliggjort. En sikkerhetsforsker ved navn SnowyOwl (Benny Jacob) fant at en ikke-autentisert bruker kunne kjøre vilkårlig kode ved å målrette HTML-felt tolket og gjengitt av Object-Graph Navigation Language (OGNL), “sa bloggen.
“Ja, det er den samme klassen av sårbarhet som ble brukt i Equifax -bruddet tilbake i 2017. Bare dager før denne sårbarheten ble offentliggjort, viste våre historiske data at internett hadde over 14.637 eksponerte og sårbare Confluence -servere. Sammenlign det med dagens dag. 1. september, hvor Censys identifiserte 14 701 tjenester som selv identifiserte seg som en Confluence-server, og av disse, 13 596 porter og 12 876 individuelle IPv4-verter som kjører en utnyttbar versjon av programvaren. “
Et Censys -diagram som viser hvor mange servere som fortsatt er sårbare.
Censys
“Det er ingen måte å si dette lett på: dette er ille. I utgangspunktet uttalte Atlassian at dette bare kunne utnyttes hvis en bruker hadde en gyldig konto på systemet. Dette ble funnet å være feil og rådgivningen ble oppdatert i dag for å gjenspeile den nye informasjonen . Det er bare et spørsmål om tid før vi begynner å se aktiv utnyttelse i naturen, ettersom det allerede har funnet arbeidsbedrifter spredt rundt, sier Censys.
Yaniv Bar-Dayan, administrerende direktør i Vulcan Cyber, sa til ZDNet at sikkerhetsteamene må bekjempe brann med ild mens de jobber med å prioritere og rette opp denne Confluence-feilen.
Angripere bør ikke være de første til å automatisere skanninger for denne utnyttelsen, og forhåpentligvis er IT-sikkerhetsteam foran sine motstandere når de proaktivt identifiserer tilstedeværelsen av dette sårbarheten og tar skritt for å redusere, sa Bar-Dayan.
“Gitt naturen til Atlassian Confluence, er det en veldig reell sjanse for at komponenter på plattformen blir avslørt på internett,” la Bar-Dayan til.
“Dette betyr at angriperne ikke trenger intern nettverkstilgang for å utnytte RCE -sårbarheten. En oppdatering er tilgjengelig, og administratorer bør distribuere den med ekstra hastverk, samtidig som de vurderer andre avbøtende handlinger som å sikre at ingen offentlig tilgang er tilgjengelig for Confluence Server og tjenester. “
BleepingComputer bekreftet torsdag at noen trusselaktører installerer kryptominere på både Windows og Linux Confluence -servere ved å bruke sårbarheten.
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Hardware Security TV Data Management CXO Data Centers 