最近,勒索软件团伙针对一个影响AtlassianConfluence服务器和数据中心的远程代码执行(RCE)漏洞。如果此OGNL注入漏洞(CVE-2022-26134)被成功利用,未经身份验证的攻击者可以通过创建新的管理员帐户并执行任意代码来远程接管未打补丁的服务器。虽然Atlassian在漏洞曝光后及时响应,但其概念验证漏洞也被泄露到网上,导致不少黑客利用该漏洞。目前,多个僵尸网络和威胁行为者正在积极使用它来部署加密恶意软件。瑞士网络威胁情报公司Prodaft的研究人员发现,AvosLocker勒索软件分支已加入攻击行列。他们瞄准并攻破“暴露在互联网上”的未打补丁的Confluence服务器,以系统地大规模感染多个受害者。AvosLocker的命令和控制服务器的屏幕截图表明威胁参与者已经将Confluence作为目标。在采访中,Prodaft表示,通过对各种网络进行大规模扫描,AvosLocker威胁参与者正在搜索运行AtlassianConfluence系统的易受攻击的机器。并且AvosLocker已经成功感染了来自世界不同地区的多家公司,包括但不限于美国、欧洲和澳大利亚。许多受害者还报告说,Cerber2021勒索软件(也称为CerberImposter)也在积极利用ConfluenceCVE-2022-26134漏洞。ID-Ransomware的创建者MichaelGillespie表示,被确定为CerberImposter的人提交的内容包括一个加密的Confluence配置文件,这表明Confluence实例正在被加密。CVE-2022-26134POC漏洞的发布恰逢Cerber勒索软件攻击成功次数的增加。微软周五晚上还证实,他们发现Confluence服务器被利用来安装Cerber2021勒索软件。Cerber此前曾于2021年12月使用CVE-2021-26084漏洞攻击全球的Confluence服务器,该漏洞允许未经身份验证的攻击者在易受攻击的系统上远程执行代码。上周,网络安全公司Volexity将CVE-2022-26134归类为一个被积极利用的零日漏洞,CISA命令联邦机构通过阻止其网络上Confluence服务器的所有互联网流量来缓解该漏洞。在漏洞信息发布一天后,Atlassian发布了安全更新,并敦促其客户及时更新补丁,以防止持续的攻击事件发生。
