近期，勒索軟件團伙瞄準(zhǔn)了一個遠程代碼執(zhí)行 (RCE) 漏洞，該漏洞影響會Atlassian Confluence服務(wù)器和數(shù)據(jù)中心。如果成功利用此OGNL注入漏洞 (CVE-2022-26134)，未經(jīng)身份驗證的攻擊者可以通過創(chuàng)建新管理員帳戶和執(zhí)行任意代碼遠程接管未修復(fù)補丁的服務(wù)器。雖然該漏洞被暴露后Atlassian也及時做出響應(yīng)，但因其概念驗證漏洞也一并被泄露到了網(wǎng)上，這就導(dǎo)致很多黑客都可以利用該漏洞，目前多個僵尸網(wǎng)絡(luò)和威脅參與者在野外積極利用它來部署加密惡意軟件。

瑞士網(wǎng)絡(luò)威脅情報公司Prodaft的研究人員發(fā)現(xiàn)AvosLocker勒索軟件分支機構(gòu)已經(jīng)加入了這一行列。他們瞄準(zhǔn)并入侵暴露在互聯(lián)網(wǎng)上的未打補丁的Confluence服務(wù)器“以大規(guī)模系統(tǒng)地感染多個受害者。AvosLocker的命令和控制服務(wù)器的截圖表明了威脅行為者已經(jīng)對Confluence下手了。

在采訪中，Prodaft 表示通過在各種網(wǎng)絡(luò)上執(zhí)行大規(guī)模掃描，AvosLocker 威脅參與者正搜索用于運行Atlassian Confluence系統(tǒng)的易受攻擊的機器。且AvosLocker 已經(jīng)成功感染了來自全球不同地區(qū)的多個企業(yè)，包括但不限于美國、歐洲和澳大利亞。

還被很多受害者表示，Cerber2021勒索軟件(也稱為CerberImposter)也在積極利用Confluence CVE-2022-26134漏洞。ID-Ransomware的創(chuàng)建者Michael Gillespie說，被識別為CerberImposter的提交文件包括加密的Confluence配置文件，這表明Confluence實例正在被加密。且CVE-2022-26134 POC漏洞的發(fā)布與Cerber勒索軟件攻擊成功次數(shù)的增加同時發(fā)生。

微軟周五晚上還證實，他們已經(jīng)看到Confluence服務(wù)器被利用來安裝Cerber2021勒索軟件。Cerber此前曾于2021年12月使用CVE-2021-26084漏洞攻擊全球范圍內(nèi)的Confluence 服務(wù)器，該漏洞允許未經(jīng)身份驗證的攻擊者在易受攻擊的系統(tǒng)上遠程執(zhí)行代碼。網(wǎng)絡(luò)安全公司Volexity上周將CVE-2022-26134歸為一個被積極利用的零日漏洞，CISA還命令聯(lián)邦機構(gòu)通過阻止其網(wǎng)絡(luò)上Confluence服務(wù)器的所有互聯(lián)網(wǎng)流量來緩解該漏洞。在漏洞信息發(fā)布一天后，Atlassian發(fā)布了安全更新并敦促其客戶及時更新補丁以阻止持續(xù)的攻擊發(fā)生。