黑客利用未修补的关键Atlassian Confluence零日漏洞

Atlassian警告称，有一个严重的未修补远程代码执行漏洞会影响Confluence服务器和数据中心产品，据称该漏洞正在被广泛利用。

这家澳大利亚软件公司认为网络安全公司Volexity发现了该漏洞，目前正在跟踪该漏洞CVE-2022-26134。

“Atlassian已经意识到当前正在积极利用Confluence数据中心和服务器中严重的未经验证的远程代码执行漏洞，”该公司在一份咨询中表示。

“当前没有可用的Confluence Server和Data Center的固定版本。Atlassian正在以最高优先级发布修复。”在软件补丁可用之前，安全漏洞的详细信息一直被保留。

所有受支持的Confluence Server和Data Center版本都会受到影响，尽管预计所有版本的企业解决方案都可能存在漏洞。最早的受影响版本尚待确定。

在没有解决方案的情况下，Atlassian敦促客户限制Confluence服务器和数据中心实例从internet访问，或者考虑完全禁用这些实例。或者，它建议实施web应用程序防火墙（WAF）规则，阻止包含“${”的URL以降低风险。

Volexity在一份独立披露中表示，作为事件应对调查的一部分，它在美国阵亡将士纪念日周末检测到了这一活动。

攻击链涉及利用Atlassian zero day漏洞（一种命令注入漏洞）；在服务器上实现未经验证的远程代码执行，使威胁参与者能够利用立足点放弃Behinder web shell。

研究人员说：“Behinder为攻击者提供了非常强大的功能，包括仅存储的Webshell和内置的与MeterPeter和Cobalt Strike交互的支持。”同时，它不允许持久性，这意味着重新启动或服务重新启动会将其清除。

随后，据说web shell被用作将另外两个web shell部署到磁盘的管道，包括China Chopper和一个自定义文件上载shell，用于将任意文件导出到远程服务器。

不到一年前，Atlassian Confluence（CVE-2021-26084，CVSS得分：9.8）的另一个关键远程代码执行漏洞在野外被积极武器化，以便在受损服务器上安装加密货币矿工。

Volexity说：“通过利用这种漏洞，攻击者可以直接访问高度敏感的系统和网络。”“此外，这些系统往往难以调查，因为它们缺乏适当的监视或日志记录功能。”