AtlassianConfluence中的一个关键安全漏洞正在被积极利用,允许服务器完全接管系统,安全研究人员警告说。该错误(CVE-2022-26134)是一个命令注入问题,允许未经身份验证的远程代码执行(RCE),并影响所有受支持的ConfluenceServer和ConfluenceDataCenter版本。根据Volexity对两次零日攻击的取证调查,无需凭据或用户交互即可利用它,只需向Confluence系统发送特制的Web请求即可。昨天,Atlassian的Confluence协作软件的用户被警告要么限制互联网访问该软件,要么由于严重错误而禁用它。Atlassian在6月2日发布的公告称,它已检测到“当前活跃的漏洞”。该公告现已更新,以反映该公司已发布版本7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4和7.18.1,其中包含针对此问题的修复。建议用户更新到这些版本。美国网络安全和基础设施局(CISA)强烈建议组织查看Confluence安全公告2022-06-02以获取更多信息。CISA敦促使用受影响的Atlassian的Confluence服务器和数据中心产品的组织阻止进出这些设备的所有互联网流量,直到更新可用并成功应用。如果没有来自公司防火墙外部的VPN访问,阻止访问将使协作变得不可能。在远程工作如此之多的时代,这可能会带来巨大的不便,或者会使远程工作人员无法使用软件。鉴于Atlassian的网站声称Confluence在全球拥有超过60,000名用户,这可能会对大量公司产生非常严重的影响。安全公司Volexity检测到该漏洞并将其报告给Atlassian。Volexity在其网站的博客中发布了他们的分析。根据Volexity的说法,“攻击者使用了一个零日漏洞,现在分配为CVE-2022-26134,允许在服务器上执行未经身份验证的远程代码。分析继续警告说“这些类型的漏洞是危险的,因为只要可以向ConfluenceServer系统发出Web请求,攻击者就可以在没有凭据的情况下执行命令并完全控制易受攻击的系统。”攻击者部署了BEHINDER植入程序的内存副本。Veloxity指出,“这是一个流行的网络服务器植入程序,源代码可在GitHub上获得。”“BEHINDER允许攻击者使用内置支持与Meterpreter和CobaltStrike交互的纯内存webshel??l。在内存中植入BEHINDER特别危险,因为它允许攻击者在不将文件写入磁盘的情况下执行指令。因为它没有persistence,因此重启或服务重启将清除它。然而,在此之前,攻击者可以访问服务器并执行命令,而无需将后门文件写入磁盘。Atlassian的初步建议指出,所有受支持的ConfluenceServer和DataCenter版本都受到影响,并且重复了限制访问Internet或禁用ConfluenceServer的建议。该公司现在表示,没有AtlassianCloud站点受到影响,并且所有受影响的客户都已收到修复通知。
