US Cybercom разослала публичное уведомление, предупреждающее ИТ-команды о том, что CVE-2021-26084, связанная с Atlassian Confluence, активно используется.
«Массовое использование Atlassian Confluence CVE-2021-26084. продолжается и, как ожидается, будет ускоряться. Пожалуйста, исправьте немедленно, если вы еще этого не сделали — это не может ждать до конца уик-энда ", — разослала US Cybercom в твиттере в пятницу перед выходными, посвященными Дню труда.
Ряд ИТ-руководителей обратились в социальные сети, чтобы подтвердить, что она действительно использовалась.
25 августа компания Atlassian выпустила уведомление об уязвимости, объяснив, что это «уязвимость системы безопасности критической степени серьезности». был обнаружен в версиях Confluence Server и Data Center до версии 6.13.23, от версии 6.14.0 до 7.4.11, от версии 7.5.0 до 7.11.6 и от версии 7.12.0 до 7.12.5.
"Существует уязвимость внедрения OGNL, которая позволяет аутентифицированному пользователю, а в некоторых случаях неаутентифицированному пользователю, выполнять произвольный код на сервере Confluence или экземпляре центра обработки данных. Все версии Confluence Server и Data Center предшествуют фиксированным версиям, перечисленным выше подвержены этой уязвимости », — говорится в сообщении компании.
Они призвали ИТ-команды обновить до последней версии долгосрочной поддержки и сказали, что есть временный обходной путь, если это невозможно.
«Вы можете смягчить проблему, запустив приведенный ниже сценарий для операционной системы, в которой размещается Confluence», — говорится в уведомлении.
Уязвимость затрагивает только локальные серверы, а не серверы, размещенные в облаке.
Несколько исследователей продемонстрировали, как можно использовать уязвимость, и опубликовали доказательства концепции, показывающие, как она работает.
Плохие пакеты заявили, что они «обнаруживали массовое сканирование и использовали активность с хостов в Бразилии, Китае, Гонконге, Непале, Румынии, России и США, нацеливаясь на серверы Atlassian Confluence, уязвимые для удаленного выполнения кода».
Censys объяснила в своем блоге, что за последние несколько дней их команда «заметила небольшой сдвиг в количестве уязвимых серверов, все еще работающих в общедоступном Интернете».
«31 августа Censys выявила 13 596 уязвимых экземпляров Confluence, а 2 сентября это число уменьшилось до 11 689 уязвимых экземпляров», — сообщает Censys.
Компания объяснила, что Confluence — это «широко распространенный Wiki-сервис, используемый в основном в корпоративных средах для совместной работы», и что в последние годы он «стал фактически стандартом корпоративной документации за последнее десятилетие».
«В то время как большинство пользователей используют управляемую службу, многие компании предпочитают развертывать программное обеспечение локально. 25 августа была обнародована уязвимость в программном обеспечении Atlassian Confluence. Исследователь безопасности по имени SnowyOwl (Бенни Джейкоб ) обнаружил, что неаутентифицированный пользователь может запускать произвольный код, ориентируясь на поля HTML, интерпретируемые и отображаемые языком объектно-графической навигации (OGNL) », — говорится в блоге.
«Да, это тот же класс уязвимости, который использовался при взломе Equifax в 2017 году. За несколько дней до того, как эта уязвимость была обнародована, наши исторические данные показали, что в Интернете было более 14 637 открытых и уязвимых серверов Confluence. . Сравните это с сегодняшним днем, 1 сентября, когда Censys идентифицировала 14 701 службу, которая идентифицировала себя как сервер Confluence, и из них 13 596 портов и 12 876 отдельных хостов IPv4 используют версию программного обеспечения, пригодную для использования. "[
![уязвимые-confluence-servers-1.png "height =" auto "width =" 470 "data-original =" https://www.zdnet.com/a/hub/ i / r / 2021/09/03 / 0f099c27-c064-4b59-b7dc-71cd65d9dbea / resize / 470xauto / 36ffa88af5ea02d94c55c7bf6d3123f3 / weak-confluence-servers-1.png "/> </span> [1945900] [1945900] [1945900] [1945900] уязвимые-confluence-servers-1.png "height =" auto "width =" 470 "/> </span> </noscript><figcaption> <span class=](https://data-to-data.ru/wp-content/uploads/2021/09/pre-us-cybercom-zayavlyaet-chto-massovaya-ekspluatatsiya-uyazvimosti-atlassian-confluence-prodolzhaetsya-i-kak-ozhidaetsya-budet-uskoryatsya.com)
Диаграмма Censys, показывающая, сколько серверов все еще являются vu прочный.
Censys
«Невозможно выразить это легкомысленно: это плохо. Первоначально Atlassian заявлял, что это можно использовать только в том случае, если у пользователя есть действующая учетная запись в системе; это оказалось неверно, и сообщение было обновлено сегодня, чтобы отразить новую информацию. Это только вопрос времени, когда мы начнем видеть активную эксплуатацию в дикой природе, поскольку уже были обнаружены разбросанные рабочие эксплойты », — добавила Censys.
Янив Бар-Даян, генеральный директор Vulcan Cyber, сказал ZDNet что службы безопасности должны бороться с огнем, поскольку они работают над установлением приоритетов и исправлением этого недостатка Confluence.
Злоумышленники не должны первыми автоматизировать сканирование на наличие этой уязвимости, и, надеюсь, группы ИТ-безопасности опережают своих противников в упреждающем определении наличия этой уязвимости и принимают меры по ее устранению, Бар-Даян сказал.
«Учитывая характер Atlassian Confluence, существует реальная вероятность того, что компоненты платформы будут доступны в Интернете», — добавил Бар-Даян.
«Это означает, что злоумышленникам не потребуется доступ к внутренней сети для использования уязвимости RCE. Доступен патч, и администраторы должны развернуть его с особой поспешностью, а также рассмотреть другие меры по смягчению последствий, такие как запрет публичного доступа. доступны для сервера и служб Confluence ».
BleepingComputer подтвердил в четверг, что некоторые злоумышленники устанавливают криптомайнеры как на Windows, так и на Linux-серверы Confluence, используя эту уязвимость.
