Свежая уязвимость в Atlassian Confluence используется для установки майнеров

В конце августа разработчики Atlassian выпустили исправление для уязвимости в Confluence, связанной с удаленным выполнением кода (RCE). Проблема имеет идентификатор CVE-2021-26084 и позволяет неаутентифицированному злоумышленнику удаленно выполнять команды на уязвимом сервере. Сообщалось, что проблема представляет опасность для всех версий Confluence Server и Data Center.

После выхода патча, исследователь, нашедший уязвимость, обнародовал ее детальное описание, приложив к своему отчету PoC-эксплоит. Написанный на PHP эксплоит оказался прост в использовании и действительно позволяет выполнять команды на целевом сервере. Злоумышленники могут использовать это для загрузки на уязвимый сервер другой малвари, веб-шеллов или запуска каких-либо программ.

Вскоре после публикации отчета и эксплоита специалисты по безопасности начали сообщать, что злоумышленники и ИБ-исследователи активно сканируют сеть в поисках уязвимых серверов Confluence. К примеру, эксперты из Bad  обнаружили, что злоумышленники из разных стран эксплуатируют серверы для загрузки и запуска shell-скриптов PowerShell и Linux. Таким образом хакеры пытаются установить майнеры на серверы под управлением Windows и Linux.

Хотя в настоящее время атаки в основном связаны с добычей криптовалют, исследователи предупреждают, что у злоумышленников нет причин не использовать эту уязвимость в других целях, в том числе для более сложных атак. Об этом так же предупреждает Киберкомандование США, которое ожидает, что ситуация лишь продолжит ухудшаться:

«Массовая эксплуатация уязвимости CVE-2021-26084 в Atlassian Confluence продолжается и ожидается, что [темпы эксплуатации] будут лишь ускоряться. Пожалуйста, исправьте уязвимость немедленно, если вы еще этого не сделали, это не подождет до конца праздников», — предупреждали в Twitter представители Киберкомандования накануне Дня труда, который отмечаю в США в первый понедельник сентября.

 



Источник 📢