美國網絡司令部(USCYBERCOM)今天發布了罕見的警報,敦促來自美國的企業和機構們立即修補一個被大規模利用的Atlassian
Confluence關鍵漏洞。“對Atlassian Confluence
CVE-2021-26084的大規模利用正在進行,預計會加速,”網絡國家任務部隊(CNMF)說。
USCYBERCOM單位還強調了儘快修補脆弱的Confluence服務器的重要性。”如果你還沒有打補丁,請立即打補丁–這不能等到周末之後”。
這一警告是在副國家安全顧問安妮·紐伯格在周四的白宮新聞發布會上鼓勵各組織”在周末假期前對惡意的網絡活動保持警惕”之後發出的。
這是過去12個月中的第二次此類警告,前一次的通知來自今年6月份,CISA意識到威脅者可能試圖利用影響所有vCenter Server安裝的遠程代碼執行漏洞。
CISA今天還敦促用戶和管理員立即應用Atlassian最近發布的Confluence安全更新。
![@DN{]SOZ[VCZ}CZ2LUJ_7UJ.png](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/09/20210904_61331d1468990.png)
Atlassian Confluence是一個非常受歡迎的基於網絡的企業團隊工作空間,旨在幫助員工在各種項目上進行協作。
8月25日,Atlassian發布安全更新,以解決積極利用的Confluence遠程代碼執行(RCE)漏洞,該漏洞被追蹤為CVE-2021-26084,並使未經認證的攻擊者能夠遠程在有漏洞的服務器上執行命令。
正如BleepingComputer本周報道的那樣,在Atlassian的補丁發布6天後,一個PoC漏洞被公開發布后,多個威脅者開始掃描並利用這個最近披露的Confluence RCE漏洞來安裝挖礦程序。
一些網絡安全公司報告說,威脅者和安全研究人員都在積極掃描和利用未打補丁的Confluence服務器。例如,聯盟工程總監Tiago Henriques檢測到滲透測試人員試圖尋找有漏洞的Confluence服務器。網絡安全情報公司Bad Packets也發現了來自多個國家的威脅者在被攻擊的Confluence服務器上部署和啟動PowerShell或Linux shell腳本。
在分析了漏洞樣本后,BleepingComputer證實,攻擊者正試圖在Windows和Linux Confluence服務器上安裝加密貨幣礦工(例如XMRig Monero加密貨幣礦工)。
儘管這些攻擊者目前只部署了加密貨幣礦工,但如果威脅者開始從被入侵的內部Confluence服務器橫向移動企業網絡,投放勒索軟件的載荷並竊取或破壞數據,攻擊的危害性就會迅速升級。