Atlassian Confluence 服务器漏洞导致 Cerber 勒索软件传播
关键要点
Atlassian 更新了 Confluence 的漏洞评级,标记为最高严重性等级。漏洞 CVE202322518 允许不当授权,已发布补丁。漏洞被攻击者利用,并导致 Cerber 勒索软件的传播。用户被建议立即更新产品,并限制外部访问。近期,一些网络攻击者开始利用已修补的 Confluence Data Center 和服务器漏洞,来传播 Cerber 勒索软件。这促使开发商 Atlassian 将该漏洞提升至最高严重性评级。
Atlassian 于 10 月 31 日披露了这一不当授权漏洞追踪编号为 CVE202322518,并相应发布了补丁。该漏洞初始的 CVSS v3 评分为 91,属于关键级别。
尽管在那时没有报告显示该漏洞被利用,Atlassian 的首席信息安全官 Bala Sathiamurthy 警告称,未采取措施保护自身实例的客户可能面临“重大数据丢失”的风险,一旦发生攻击。
在 11 月 2 日,Atlassian 表示已观察到“公开发布了关于该漏洞的关键性信息,增加了被攻击的风险。”次日,公司表示收到了客户关于该漏洞被主动利用的报告,再次敦促 Confluence 用户立即采取措施保护他们的实例。
在 11 月 6 日的博客文章 中,Rapid7 透露其管理检测和响应MDR部门已经观察到多个环境中 Confluence 被攻击的案例,其中至少一些攻击目标是 CVE202322518。
Rapid7 的研究人员在文章中表示:“多个环境中的执行流程链基本保持一致,表明可能存在针对暴露在互联网的 Atlassian Confluence 服务器的大规模利用。”
在多条攻击链中,Rapid7 观察到的后期命令执行用于下载恶意负载,托管于 1934372[]11 和/或 193176179[]41。如果成功执行,将导致 Cerber 勒索软件在被攻击的 Confluence 服务器上部署。
Greynoise 也观察到 攻击者试图利用该漏洞。
Cerber 勒索软件 首次出现于 2016 年,在 2017 年时达到顶峰,与 WannaCry 一同主导了勒索软件领域。Cerber 可通过勒索软件即服务的方式供攻击者使用。
Rapid7 重申了 Atlassian 的建议,Confluence 用户应“紧急”更新至修复版本,并限制对应用程序的外部访问,至少在能够修复漏洞之前保持该限制。
蚂蚁加速器官网在 11 月 6 日更新的 安全顾问中,Atlassian 表示,考虑到观察到的攻击以及威胁行为者使用勒索软件的报告,已将 CVE202322518 的评级从 CVSS 91 升级至 10,因攻击范围的变化而达到最高级别。
Atlassian 还表示,所有版本的 Confluence Server 和 Confluence Data Center 均受到该漏洞的影响,可通过迁移至以下修复版本解决:71916、834、844、853 或 861。
该公司还表示,使用其 Atlassian Cloud 服务的用户不受此漏洞影响。“如果您的 Confluence 网站通过 atlassiannet 域访问,则由 Atlassian 托管,且不存在此问题。”
在 10 月中旬,政府和网络机构报告称,攻击者利用了 Confluence Data Center 和服务器中的 [另一个严重漏洞](https//wwwscworldcom/news/usgovernmentw
