CERBER勒索軟件利用Confluence RCE等多個高危漏洞攻擊云主機

X0_0X2021-12-06 18:03:31

一、概述

12月6日，騰訊安全Cyber-Holmes引擎系統檢測并發出告警：CERBER勒索軟件傳播者利用Atlassian Confluence遠程代碼執行漏洞（CVE-2021-26084）和GitLab exiftool 遠程代碼執行漏洞(CVE-2021-22205)攻擊云上主機。被勒索軟件加密破壞的文件無密鑰暫不能解密，騰訊安全專家建議所有受影響的用戶盡快修復漏洞，避免造成數據完全損失，業務徹底崩潰。

Atlassian Confluence 遠程代碼執行漏洞（CVE-2021-26084）為8月26日披露的高危漏洞，該漏洞的CVSS 評分為 9.8，是一個對象圖導航語言 (ONGL) 注入漏洞，允許未經身份驗證的攻擊者在 Confluence Server 或Data Center實例上執行任意代碼，攻擊者利用漏洞可完全控制服務器。

GitLab exiftool遠程命令執行漏洞（CVE-2021-22205）同樣也是網絡黑產瘋狂利用的高危漏洞。由于Gitlab某些端點路徑無需授權，攻擊者可在無需認證的情況下利用圖片上傳功能執行任意代碼，攻擊者利用漏洞同樣可以完全控制服務器。

騰訊安全專家指出，網絡黑灰產業對高危漏洞的利用之快令人印象深刻，在Atlassian Confluence遠程代碼執行漏洞（CVE-2021-26084）和GitLab exiftool 遠程代碼執行漏洞(CVE-2021-22205)漏洞詳情及POC代碼公開之后，已檢測到多個網絡黑灰產業對云主機發起多輪攻擊。這些攻擊較多為挖礦木馬或其他僵尸網絡，一般不會造成云主機崩潰癱瘓，今天捕獲的針對linux云主機的勒索軟件攻擊，可造成數據完全損失，業務徹底崩潰。

二、漏洞影響范圍

騰訊安全網絡空間測繪數據顯示，Atlassian Confluence 應用廣泛，中國占比最高（21.46%）、其次是美國（21.36%）、德國（18.40%）。

受影響的版本：

Atlassian Confluence Server/Data Center < 6.13.23

6.14.0 <= Atlassian Confluence Server/Data Center < 7.4.11

7.5.0 <= Atlassian Confluence Server/Data Center < 7.11.6

7.12.0 <= Atlassian Confluence Server/Data Center < 7.12.5

安全版本：

Atlassian Confluence Server/Data Center 6.13.23

Atlassian Confluence Server/Data Center 7.4.11

Atlassian Confluence Server/Data Center 7.11.6

Atlassian Confluence Server/Data Center 7.12.5