您所在的位置: 首頁 >
新聞資訊 >
技術前沿 >
攻擊范圍擴大促Atlassian 修正漏洞評分-勒索攻擊者已摩拳擦掌躍躍欲試
針對未修補的Atlassian Confluence數(shù)據中心和服務器技術的主動勒索軟件和其他網絡攻擊已促使Atlassian將該漏洞CVE-2023-22518的CVSS評分從原來的9.1分提高到10分,這是該等級中最關鍵的評級。據稱,Atlassian Confluence數(shù)據中心和服務器的所有版本都會受到影響,但云實例則不會。公告補充說,目前已觀察到針對該漏洞的積極利用,包括勒索軟件。Rapid7的研究人員還發(fā)布了周末(11月5日)開始的滾雪球式攻擊的咨詢警告。這種不正確的授權漏洞允許未經身份驗證的攻擊者重置Confluence并創(chuàng)建Confluence實例管理員帳戶。使用此帳戶,攻擊者可以執(zhí)行Confluence實例管理員可用的所有管理操作,從而導致機密性、完整性和可用性完全喪失。Atlassian Confluence漏洞于10月31日首次披露,并于11月3日被觀察到正在被積極利用,11月6日修正漏洞的CVSS評分至10分。
不斷升級的警告
Atlassian首席信息安全官Bala Sathiamurthy上周就該漏洞向公眾發(fā)出警告,他表示該漏洞“如果被利用,可能會導致重大數(shù)據丟失”。本周晚些時候,該公司更新了其公告,稱雖然沒有證據表明存在主動利用,但它確實觀察到“公開發(fā)布的有關該漏洞的關鍵信息增加了利用風險”。
“在發(fā)現(xiàn)未利用的漏洞后,我們于2023年10月31日發(fā)布了關鍵安全公告,敦促客戶立即采取行動。盡管仍然沒有已知的漏洞利用,但我們于2023年11月2日發(fā)布了另一波警示,指出在觀察到公開發(fā)布的有關該漏洞的關鍵信息后,尚未應用補丁的任何客戶的風險都會增加,”Atlassian發(fā)言人周二(11月7日)表示。
“2023年11月3日,我們向客戶發(fā)出了有關主動利用漏洞的警告,并在發(fā)現(xiàn)包括勒索軟件攻擊在內的惡意活動證據后,于2023年11月6日升級了這一漏洞?!?/span>
11月5日,Rapid7的網絡安全研究人員和事件響應人員表示,他們看到黑客Cerber利用該進行攻擊,Cerber是一個被認為早已不復存在的勒索軟件品牌。
Huntress和Red Canary等其他公司也支持Rapid7的評估,即黑客利用該漏洞后正在使用Cerber勒索軟件。
真正的大規(guī)模攻擊已開始
Atlassian發(fā)言人周二(11月7日)表示,該公司有證據支持網絡安全研究人員周末報告的內容:CVE-2023-22518(影響Confluence 數(shù)據中心和Confluence服務器產品的漏洞)正被用于網絡犯罪。
攻擊鏈涉及大規(guī)模利用易受攻擊的面向互聯(lián)網的Atlassian Confluence服務器來獲取遠程服務器上托管的惡意有效負載,從而導致勒索軟件有效負載在受感染的服務器上執(zhí)行。
GreyNoise收集的數(shù)據顯示,攻擊嘗試來自位于法國、香港和俄羅斯的三個不同IP地址。
Atlassian警告安全團隊注意以下內容:
失去登錄或訪問權限
網絡訪問日志中對 /json/setup-restore* 的請求
安裝了未知插件,觀察到名為“web.shell.Plugin”的插件的報告
加密的文件或損壞的數(shù)據
匯合管理員組的意外成員
意外新創(chuàng)建的用戶帳戶
Cerber勒索的回歸
Cerber勒索軟件操作在2016年至2019年期間很活躍,但在2021年發(fā)現(xiàn)針對容易受到另一個漏洞CVE-2021-26084影響的Confluence 實例。當時,2021年活動背后的黑客瞄準了中國、德國和美國的受害者,要求0.04比特幣來換取解密器。
幾位勒索軟件專家表示,他們已經很多年沒有看到Cerber勒索軟件被使用了。
Cerber勒索軟件說明,2023年Cerber勒索軟件說明。圖片:Rapid7
當被問及情況時,Rapid7漏洞研究負責人Caitlin Condon稱,該團隊提取的勒索軟件注釋標題為“C3RB3R指令”,文件使用擴展名“L0CK3D”進行加密,這是Cerber勒索軟件的常見模式。
“然而,值得注意的是,我們正在分析和歸因惡意軟件,而不是威脅行為者,”她說。
“近年來,勒索軟件生態(tài)系統(tǒng)發(fā)生了顯著變化和多樣化——源代碼被泄露,組件被重復使用,來自知名團體的對手已經改變了忠誠度(并帶走了他們所謂的知識產權),附屬機構和訪問經紀人已經發(fā)展了策略和技術等等?!?/span>
Condon接著指出,在最近的其他攻擊中,該公司發(fā)現(xiàn)黑客使用源代碼被泄露的勒索軟件。該理論認為,獨狼攻擊者正在利用泄露的代碼來“賺快錢”。
Condon說,研究人員正在“分析惡意軟件和工件,而不是歸因于人類對手”。
Rapid7表示,多個客戶正在通過CVE-2023-22518被利用,Red Canary和Huntress表示,他們在攻擊中看到了相同的 .LOCK3D文件擴展名。
Huntress研究人員表示,在線Shodan搜索工具上對“confluence”的基本搜索顯示超過200,000個可能存在漏洞的端點,更狹義的搜索發(fā)現(xiàn)了超過5,600個可能存在漏洞的端點。但該公司指出,這兩種搜索都無法證明可利用性或版本號,而只是“證明Confluence通常是可公開訪問的”。
參考資源:
1.https://www.darkreading.com/vulnerabilities-threats/atlassian-bug-escalated-10-unpatched-instances-vulnerable
2.https://thehackernews.com/2023/11/experts-warn-of-ransomware-hackers.html
3.https://therecord.media/atlassian-confirms-ransomware-using-confluence-bug-cerber
4.https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
原文來源:網空閑話plu