内存安全周报第95期 | 攻击者积极利用Atlassian Confluence中的严重0day漏洞
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等恶意行为。
攻击者积极利用Atlassian Confluence中的严重0day漏洞(6.6)
在Atlassian Confluence中,网络罪犯正在滥用一个被追踪为CVE-2022-26134的0day漏洞。这些攻击包含安装webshell来实现远程代码执行。
详细情况
最近,Atlassian发布了一份安全报告,提供了关于0day漏洞的细节。该缺陷是一个未经认证的RCE漏洞,影响着Confluence数据中心和Confluence服务器。
- Atlassian已在Confluence Server 7.18.0版本以及Confluence Server和Data Center 7.4.0及更高版本中确认该漏洞。
- 多名中国攻击者被认为正在使用这些漏洞。
此外,CISA已将这一0day漏洞添加到其“已知被利用漏洞目录”中,并敦促联邦机构从6月3日起封锁其Confluence服务器的所有互联网流量。
研究人员解释称,该漏洞是在周末进行事故应急响应的过程中被发现的,他们复制了这个漏洞,并于5月31日向Atlassian披露该漏洞。
攻击者使用BEHINDER安装了一个简单的文件上传工具作为备份以及一个China Chopper webshell。
此外,他们丢弃了Confluence服务器的用户列表,编写了额外的webshell,并修改了访问日志,以躲避检测。
当前还没有可用补丁,但Atlassian已经提出了修复建议。首先,用户可以从互联网上限制对Confluence 服务器和数据中心实例的访问,第二种选择是禁用Confluence 服务器和数据中心实例。
参考链接
