【漏洞情报】 Atlassian Confluence 漏洞 CVE-2023-22518被Cerber 勒索软件利用

阅读量121469

发布时间 : 2023-11-07 12:03:07

攻击者正在利用最近修补的严重 Atlassian Confluence 身份验证绕过漏洞,使用 Cerber 勒索软件加密受害者的文件。

Atlassian 将该漏洞描述为不正确的授权漏洞,并跟踪为 CVE-2023-22518,该漏洞的严重程度为 9.1/10,它影响所有版本的 Confluence Data Center 和 Confluence Server 软件。

Atlassian上周二发布了安全更新,警告管理员立即修补所有易受攻击的实例,因为该缺陷也可能被利用来擦除数据。

Atlassian 首席信息安全官 (CISO) Bala Sathiamurthy表示:“作为我们持续安全评估流程的一部分,我们发现 Confluence 数据中心和服务器客户如果被未经身份验证的攻击者利用,很容易遭受重大数据丢失。”

“目前没有关于主动利用的报告;但是,客户必须立即采取行动来保护他们的实例。”

几天后,该公司发布了第二次警告,提醒客户,概念验证漏洞已经在网上可用,尽管没有证据表明该漏洞正在进行。

那些无法修补系统的人被敦促采取缓解措施,包括备份未修补的实例并阻止对未修补的服务器的互联网访问,直到它们得到保护。

还可以选择通过修改/<confluence-install-dir>/confluence/WEB-INF/web.xml来删除已知的攻击媒介,如公告中所述并重新启动易受攻击的实例。

根据威胁监控服务 ShadowServer 的数据,目前有超过 24,000 个 Confluence 实例暴露在网上,但无法得知有多少个实例容易受到 CVE-2023-22518 攻击。

暴露在互联网上的 Atlassian Confluence 实例
暴露在互联网上的 Atlassian Confluence 实例 (Shadowserver)

​在勒索软件攻击中被利用

Atlassian 于周五更新了他们的公告,警告威胁行为者在 PoC 漏洞发布后已经针对攻击中的缺陷进行了攻击。

该公司表示:“我们收到了一份关于活跃漏洞的客户报告。客户必须立即采取行动来保护他们的实例。如果您已经应用了补丁,则无需采取进一步的行动。”

周末,威胁情报公司 GreyNoise警告称,CVE-2023-2251811 月 5 日星期日开始广泛利用。

网络安全公司 Rapid7 还观察到针对暴露在互联网上的 Atlassian Confluence 服务器的攻击,其中包括针对 CVE-2023-22518 身份验证绕过的漏洞以及先前被用作零日漏洞的旧版关键权限升级(CVE-2023-22515)。

该公司表示:“截至 2023 年 11 月 5 日,Rapid7 托管检测和响应 (MDR) 正在观察多个客户环境中 Atlassian Confluence 的利用情况,包括勒索软件部署。”

“在多个攻击链中,Rapid7 观察到利用后命令执行来下载托管在 193.43.72[.]11 和/或 193.176.179[.]41 上的恶意有效负载,如果成功,将导致单系统 Cerber 勒索软件部署在被利用的 Confluence 服务器上。”

CISA、FBI 和多州信息共享与分析中心 (MS-ISAC) 上个月发布了一份联合公告,敦促网络管理员立即保护 Atlassian Confluence 服务器免受主动利用的 CVE-2023-22515 权限升级漏洞的影响。根据微软的一份报告,至少从 9 月 14 日起就一直受到积极的利用。

两年前, Cerber 勒索软件(又名 CerberImposter)也被部署在针对 Atlassian Confluence 服务器的攻击中,利用远程代码执行漏洞 (CVE-2021-26084),该漏洞之前被用来安装加密挖矿程序

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+11赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66