CISA發出警告|Atlassian緊急推出針對Confluence高危零日漏洞的修復程序

摘 要

安全研究人員警告說，Atlassian Confluence 中的一個關鍵安全漏洞正在受到主動攻擊，從而使服務器可以完全接管系統。該錯誤 (CVE-2022-26134) 是一個命令注入問題，允許未經身份驗證的遠程代碼執行 (RCE)，影響所有受支持的 Confluence Server 和 Confluence Data Center 版本。根據 Volexity 對兩次零日攻擊的取證調查，無需憑據或用戶交互即可利用它，只需向 Confluence 系統發送特制的 Web 請求即可。

Atlassian Confluence 協作軟件的用戶昨天被警告要么限制對該軟件的互聯網訪問，要么由于一個嚴重的漏洞而禁用它。

Atlassian于6月2日發布的一份公告稱，已檢測到“當前活躍的利用”。 該公告現已更新，以反映該公司已發布版本 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 和 7.18.1，其中包含對此的修復問題。 建議用戶更新到這些版本。

美國網絡安全和基礎設施局 (CISA) “強烈建議組織查看Confluence 安全公告 2022-06-02以獲取更多信息。CISA 敦促使用受影響的 Atlassian 的 Confluence 服務器和數據中心產品的組織阻止所有進出這些設備的互聯網流量，直到更新可用并成功應用。”

如果沒有來自公司防火墻外部的 VPN 訪問，阻止訪問將使協作變得不可能。在有如此多的遠程工作的時候，這可能會帶來極大的不便，或者可能會使遠程工作人員無法使用該軟件。鑒于 Atlassian 的網站聲稱 Confluence 在全球擁有超過 60,000 名用戶，這可能會對大量公司造成非常嚴重的影響。

安全公司 Volexity 檢測到該漏洞并將其報告給 Atlassian。Volexity 在其網站的博客中發布了他們的分析。

根據 Volexity 的說法，“攻擊者使用了一個零日漏洞，現在分配了 CVE-2022-26134，它允許在服務器上執行未經身份驗證的遠程代碼。” 分析繼續警告說“這些類型的漏洞是危險的，因為只要可以向 Confluence Server 系統發出 Web 請求，攻擊者就可以在沒有憑據的情況下執行命令并完全控制易受攻擊的系統。”

攻擊者部署了BEHINDER植入程序的內存副本。Veloxity 指出，“這是一個廣受歡迎的網絡服務器植入程序，源代碼可在 GitHub上找到。”BEHINDER 允許攻擊者使用僅內存的 webshell，內置支持與Meterpreter和Cobalt Strike的交互。

在內存中植入BEHINDER特別危險，因為它允許攻擊者執行指令而無需將文件寫入磁盤。由于它沒有持久性，因此重新啟動或服務重新啟動會將其清除。然而，在此之前，攻擊者可以訪問服務器并執行命令，而無需將后門文件寫入磁盤。

Atlassian最初的建議表明所有受支持的Confluence Server和Data Center版本都受到了影響，并重復了限制對Internet的訪問或禁用Confluence Server的建議。該公司現在表示，沒有任何Atlassian Cloud站點受到影響，并且所有受影響的客戶都已收到修復通知。