安全研究人員警告說，Atlassian Confluence 中的一個(gè)關(guān)鍵安全漏洞正在受到主動(dòng)攻擊，從而使服務(wù)器可以完全接管系統(tǒng)。該錯(cuò)誤 (CVE-2022-26134) 是一個(gè)命令注入問題，允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行 (RCE)，影響所有受支持的 Confluence Server 和 Confluence Data Center 版本。根據(jù) Volexity 對兩次零日攻擊的取證調(diào)查，無需憑據(jù)或用戶交互即可利用它，只需向 Confluence 系統(tǒng)發(fā)送特制的 Web 請求即可。

Atlassian Confluence 協(xié)作軟件的用戶昨天被警告要么限制對該軟件的互聯(lián)網(wǎng)訪問，要么由于一個(gè)嚴(yán)重的漏洞而禁用它。

Atlassian于6月2日發(fā)布的一份公告稱，已檢測到“當(dāng)前活躍的利用”。該公告現(xiàn)已更新，以反映該公司已發(fā)布版本 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 和 7.18.1，其中包含對此的修復(fù)問題。建議用戶更新到這些版本。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局 (CISA) 強(qiáng)烈建議組織查看Confluence 安全公告 2022-06-02以獲取更多信息。CISA 敦促使用受影響的 Atlassian 的 Confluence 服務(wù)器和數(shù)據(jù)中心產(chǎn)品的組織阻止所有進(jìn)出這些設(shè)備的互聯(lián)網(wǎng)流量，直到更新可用并成功應(yīng)用。

如果沒有來自公司防火墻外部的 VPN 訪問，阻止訪問將使協(xié)作變得不可能。在有如此多的遠(yuǎn)程工作的時(shí)候，這可能會(huì)帶來極大的不便，或者可能會(huì)使遠(yuǎn)程工作人員無法使用該軟件。鑒于 Atlassian 的網(wǎng)站聲稱 Confluence 在全球擁有超過 60,000 名用戶，這可能會(huì)對大量公司造成非常嚴(yán)重的影響。

安全公司 Volexity 檢測到該漏洞并將其報(bào)告給 Atlassian。Volexity 在其網(wǎng)站的博客中發(fā)布了他們的分析。

根據(jù) Volexity 的說法，“攻擊者使用了一個(gè)零日漏洞，現(xiàn)在分配了 CVE-2022-26134，它允許在服務(wù)器上執(zhí)行未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼?！?分析繼續(xù)警告說“這些類型的漏洞是危險(xiǎn)的，因?yàn)橹灰梢韵?Confluence Server 系統(tǒng)發(fā)出 Web 請求，攻擊者就可以在沒有憑據(jù)的情況下執(zhí)行命令并完全控制易受攻擊的系統(tǒng)。”

攻擊者部署了BEHINDER植入程序的內(nèi)存副本。Veloxity 指出，“這是一個(gè)廣受歡迎的網(wǎng)絡(luò)服務(wù)器植入程序，源代碼可在 GitHub上找到?！盉EHINDER 允許攻擊者使用僅內(nèi)存的 webshell，內(nèi)置支持與Meterpreter和Cobalt Strike的交互。

在內(nèi)存中植入BEHINDER特別危險(xiǎn)，因?yàn)樗试S攻擊者執(zhí)行指令而無需將文件寫入磁盤。由于它沒有持久性，因此重新啟動(dòng)或服務(wù)重新啟動(dòng)會(huì)將其清除。然而，在此之前，攻擊者可以訪問服務(wù)器并執(zhí)行命令，而無需將后門文件寫入磁盤。

Atlassian最初的建議表明所有受支持的Confluence Server和Data Center版本都受到了影響，并重復(fù)了限制對Internet的訪問或禁用Confluence Server的建議。該公司現(xiàn)在表示，沒有任何Atlassian Cloud站點(diǎn)受到影響，并且所有受影響的客戶都已收到修復(fù)通知。