美国网络司令部警告各机构立即修补大规模利用的Confluence漏洞Confluence严重漏洞。“AtlassianConfluenceCVE-2021-26084的大规模利用正在进行中,预计会加速,”网络国家任务部队(CNMF)表示。美国网络司令部还强调了尽快修补易受攻击的Confluence服务器的重要性。“如果你还没有打补丁,现在就打——这不能等到周末之后”。在周四的白宫新闻发布会上,副国家安全顾问AnneNeuberger鼓励组织“在假期周末之前对恶意网络活动保持警惕”后发出警告。这是过去12个月内的第二次此类警告,上一次通知是在6月发出的,当时CISA意识到威胁行为者可能试图利用影响所有vCenterServer安装的远程代码执行漏洞。CISA今天还敦促用户和管理员立即应用Atlassian最近发布的Confluence安全更新。AtlassianConfluence是一个非常流行的基于Web的企业团队工作区,旨在帮助员工在各种项目上进行协作。8月25日,Atlassian发布了一个安全更新,以解决被积极利用的Confluence远程代码执行(RCE)漏洞,跟踪为CVE-2021-26084,并使未经身份验证的攻击者能够远程执行命令正如BleepingComputer本周报道的那样,在PoC之后在Atlassian的补丁发布六天后,该漏洞被公开发布,多个威胁参与者开始扫描并利用最近披露的ConfluenceRCE漏洞来安装矿工。几家网络安全公司报告说,威胁参与者和安全研究人员都在积极扫描和利用未打补丁的Confluence服务器。例如,联盟工程总监TiagoHenriques检测到渗透测试人员试图找到易受攻击的Confluence服务器。网络安全情报公司BadPackets还发现来自多个国家的威胁行为者在受感染的Confluence服务器上部署和启动PowerShell或Linuxshell脚本。在分析漏洞利用样本后,BleepingComputer确认攻击者正试图在Windows和LinuxConfluence服务器上安装加密货币矿工(例如XMRigMonero加密货币矿工)。虽然这些攻击者到目前为止只部署了加密货币矿工,但如果威胁行为者开始从受感染的内部Confluence服务器横向移动到公司网络,提供勒索软件有效负载并窃取或破坏数据,攻击可能会迅速升级。
