美網絡司令部警告：針對Confluence的“持續性”黑客攻擊正在爆發

美國網絡司令部(Cyber Command)警告美國各機構說，黑客正在利用一個廣受歡迎的項目管理工具的軟件缺陷。這表明，黑客可能正在為一場令整個私營部門頭疼的更大規模攻擊做準備。

美國國防部網絡司令部當地時間星期五在一條推特上說，對這一問題的“大規模利用”正在進行，預計還會加速。這個問題存在于Atlassian Confluence中，這是一種企業應用程序，作為在企業環境中實現遠程工作的手段。澳大利亞公司Atlassian在8月25日警告客戶將他們的系統升級到最新版本的Confluence。

網絡司令部警告說:“如果你還沒有打補丁，請立即打補丁——這不能等到周末之后。”

美國國土安全部網絡安全和基礎設施安全局(cybersecurity and Infrastructure security Agency)負責網絡安全的執行助理主任埃里克·戈德斯坦(Eric Goldstein)在一份聲明中說，“勒索軟件繼續是國家安全的威脅和嚴峻挑戰，但并非不可克服。”

關于Atlassian的Confluence軟件缺陷的具體細節并不多見。該公司表示，該問題被歸類為CVE-2021-26084，是一個“注入漏洞”，“允許經過身份驗證的用戶(在某些情況下是未經身份驗證的用戶)在Confluence服務器或數據中心實例上執行任意代碼。”在通用漏洞評分系統(Common Vulnerability Scoring System)上，該漏洞評分為9.8分(滿分10分)。

8 月 25 日，Atlassian 公司發布補丁以解決這個關鍵代碼執行漏洞。Atlassian將其描述為 OGNL 注入問題，該漏洞已在 6.13.23、7.4 版本中修復.11、7.11.6、7.12.5 和 7.13.0。發布補丁后不久，黑客就開始利用該漏洞，研究人員表示，重現漏洞利用比預期的要容易。

8 月 29 日，研究人員表示，重現漏洞利用比預期的要容易。9 月 1 日，網絡安全公司開始看到旨在識別易受攻擊的系統以及利用企圖的互聯網掃描。威脅情報公司 Bad Packets 觀察到利用 CVE-2021-26084 提供加密貨幣礦工的攻擊。

在發現第一次野外利用嘗試后，研究人員發布了對該漏洞和概念驗證 (PoC) 漏洞利用代碼的技術分析，這可能會導致更多的威脅組織將 Confluence 漏洞添加到他們的武器庫中。

然而，安全行業資深人士 Dave Aitel 認為現在打補丁可能還不夠。“老實說，我認為這是個糟糕的建議。人們應該讓這些系統完全離線并從頭開始重建它們，”艾特爾在一條推文中說。

此前，美國國土安全部(Department of Homeland Security)網絡部門和聯邦調查局(FBI)警告各公司在美國勞工節(Labor Day)前警惕勒索軟件攻擊。勞工節是美國的假日周末。

殖民管道公司(Colonial Pipeline)的勒索軟件攻擊導致燃料運輸延誤，事件發生在五月母親節附近。不久之后，在陣亡將士紀念日(Memorial Day)附近，食品生產公司JBS遭遇黑客攻擊。另一起針對全球IT公司Kaseya的攻擊發生在美國獨立日(Independence Day)前后。

參考資源

1、https://www.cyberscoop.com/atlassian-confluence-ransomware-cyber-command/

2、https://www.securityweek.com/recently-patched-confluence-vulnerability-exploited-wild

3、https://www.securityweek.com/uscybercom-warns-mass-exploitation-atlassian-vulnerability-ahead-holiday-weekend

4、https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

文章來源：網空閑話