Các tin tặc đang tích cực quét và khai thác lỗ hổng thực thi mã từ xa Atlassian Confluence được tiết lộ gần đây LÀ CVE-2021-26084 để cài đặt các công cụ đào tiền mã hóa sau khi một khai thác PoC được phát hành công khai.

Atlassian Confluence là không gian làm việc nhóm cho các công ty dựa trên nền tảng web rất phổ biến cho phép nhân viên cộng tác trong các dự án.

Vào ngày 25 tháng 8, Atlassian đã đưa ra lời khuyên bảo mật cho lỗ hổng thực thi mã từ xa Confluence (RCE) được theo dõi là CVE-2021-26084, cho phép kẻ tấn công chưa được xác thực thực hiện từ xa các lệnh trên máy chủ dễ bị tấn công.

“Một lỗ hổng bảo mật OGNL tồn tại có thể cho phép người dùng đã xác thực và trong một số trường hợp là người dùng chưa được xác thực, thực thi mã tùy ý trên phiên bản Máy chủ hợp lưu hoặc Trung tâm dữ liệu”, lời khuyên CVE-2021-26084 của Atlassian giải thích  .

“Tất cả các phiên bản của Máy chủ Confluence và Trung tâm Dữ liệu trước các phiên bản cố định được liệt kê ở trên đều bị ảnh hưởng bởi lỗ hổng này.”

Atlassian đã phát hành các bản vá cho các lỗ hổng và khuyến nghị người dùng nâng cấp lên bản phát hành Hỗ trợ dài hạn. 

Máy chủ Confluence  được khai thác tích cực

Sáu ngày sau khi Atlassian đưa ra lời khuyên, các nhà nghiên cứu đã xuất bản một bản  viết kỹ thuật  giải thích lỗ hổng bảo mật và một bản khai thác bằng chứng về khái niệm đã được phát hành công khai.

Khai thác PHP PoC này rất dễ sử dụng và nếu thành công, sẽ thực thi một lệnh trên máy chủ được nhắm mục tiêu. Ví dụ: những kẻ tấn công có thể sử dụng các lệnh này để tải xuống phần mềm khác, chẳng hạn như trang web hoặc khởi chạy một chương trình trên máy chủ bị khai thác.

Ngay sau khi bài báo và PoC được xuất bản, các công ty an ninh mạng bắt đầu báo cáo rằng các tác nhân đe dọa và các nhà nghiên cứu bảo mật đang tích cực quét và khai thác các máy chủ Confluence dễ bị tấn công.

Ví dụ: Giám đốc kỹ thuật của Liên minh  Tiago Henriques đã  phát hiện thấy những người kiểm tra thâm nhập đang cố gắng tìm ra các máy chủ Confluence có lỗ hổng bảo mật, có khả năng bị tiền thưởng lỗi

Balgan tweet

Tuy nhiên, công ty tình báo an ninh mạng Bad Packets đã chứng kiến ​​nhiều hoạt động bất chính hơn với các tác nhân đe dọa từ nhiều quốc gia khai thác máy chủ để tải xuống và chạy các tập lệnh trình bao PowerShell hoặc Linux.

Bài tweet của gói không hợp lệ

Từ các mẫu khai thác được đăng bởi Bad Packets, BleepingComputer xác nhận rằng các tác nhân đe dọa đang cố gắng cài đặt các công cụ mã hóa trên cả máy chủ Windows và Linux Confluence.

Ví dụ: một kẻ tấn công sử dụng tập lệnh sau để cài đặt công cụ khai thác tiền điện tử XMRig để khai thác Monero, như được hiển thị bên dưới.

Tập lệnh PowerShell được thực thi bởi khai thác Hợp lưu
Tập lệnh PowerShell được thực thi bởi khai thác Hợp lưu

Một hoạt động khai thác khác được chia sẻ với BleepingComputer cố gắng tải xuống  phần mềm độc hại Kinsing  trên các máy chủ Linux cũng để cài đặt các coinminers.

Mặc dù các cuộc tấn công hiện tại đang bị lạm dụng chỉ để khai thác tiền điện tử, không có lý do gì mà các tác nhân đe dọa không thể sử dụng nó cho các cuộc tấn công nâng cao hơn, đặc biệt nếu máy chủ hợp lưu được lưu trữ tại chỗ.

Các cuộc tấn công này có thể bao gồm lây lan theo chiều ngang qua mạng, tấn công ransomware và xâm nhập dữ liệu.

Nếu tổ chức của bạn đang chạy máy chủ Confluence , chúng tôi khuyên bạn nên cài đặt các bản cập nhật mới nhất càng sớm càng tốt.

Tại Việt Nam có hàng trăm máy chủ Confluence  đang bị lỗi này, theo báo cáo của Bin Trần qua thống kê từ Shodan.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Trending