安全研究人员警告说,Atlassian Confluence 中的一个关键安全漏洞正在受到主动攻击,从而使服务器可以完全接管系统。该错误 (CVE-2022-26134) 是一个命令注入问题,允许未经身份验证的远程代码执行 (RCE),影响所有受支持的 Confluence Server 和 Confluence Data Center 版本。根据 Volexity 对两次零日攻击的取证调查,无需凭据或用户交互即可利用它,只需向 Confluence 系统发送特制的 Web 请求即可。
Atlassian Confluence 协作软件的用户昨天被警告要么限制对该软件的互联网访问,要么由于一个严重的漏洞而禁用它。
Atlassian于6月2日发布的一份公告称,已检测到“当前活跃的利用”。该公告现已更新,以反映该公司已发布版本 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 和 7.18.1,其中包含对此的修复问题。建议用户更新到这些版本。
美国网络安全和基础设施局 (CISA) 强烈建议组织查看Confluence 安全公告 2022-06-02以获取更多信息。CISA 敦促使用受影响的 Atlassian 的 Confluence 服务器和数据中心产品的组织阻止所有进出这些设备的互联网流量,直到更新可用并成功应用。
如果没有来自公司防火墙外部的 VPN 访问,阻止访问将使协作变得不可能。在有如此多的远程工作的时候,这可能会带来极大的不便,或者可能会使远程工作人员无法使用该软件。鉴于 Atlassian 的网站声称 Confluence 在全球拥有超过 60,000 名用户,这可能会对大量公司造成非常严重的影响。
安全公司 Volexity 检测到该漏洞并将其报告给 Atlassian。Volexity 在其网站的博客中发布了他们的分析。
根据 Volexity 的说法,“攻击者使用了一个零日漏洞,现在分配了 CVE-2022-26134,它允许在服务器上执行未经身份验证的远程代码。” 分析继续警告说“这些类型的漏洞是危险的,因为只要可以向 Confluence Server 系统发出 Web 请求,攻击者就可以在没有凭据的情况下执行命令并完全控制易受攻击的系统。”
攻击者部署了BEHINDER植入程序的内存副本。Veloxity 指出,“这是一个广受欢迎的网络服务器植入程序,源代码可在 GitHub上找到。”BEHINDER 允许攻击者使用仅内存的 webshell,内置支持与Meterpreter和Cobalt Strike的交互。
在内存中植入BEHINDER特别危险,因为它允许攻击者执行指令而无需将文件写入磁盘。由于它没有持久性,因此重新启动或服务重新启动会将其清除。然而,在此之前,攻击者可以访问服务器并执行命令,而无需将后门文件写入磁盘。
Atlassian最初的建议表明所有受支持的Confluence Server和Data Center版本都受到了影响,并重复了限制对Internet的访问或禁用Confluence Server的建议。该公司现在表示,没有任何Atlassian Cloud站点受到影响,并且所有受影响的客户都已收到修复通知。