美國網絡司令部：立即修補嚴重的 Atlassian 錯誤

美國政府安全專家敦促系統管理員修補廣泛使用的 Cisco 和 Atlassian 產品中的兩個關鍵缺陷，使它們容易受到威脅。

美國網絡司令部罕見地在周五勞動節假期周末之前在 Twitter 上解決了 Atlassian 漏洞。

“對 Atlassian Confluence CVE-2021-26084 的大規模利用正在進行中，預計會加速。如果你還沒有修補，請立即修補——這不能等到周末之后，”它警告說。

Atlassian 于 8 月 25 日針對其流行的基于 Web 的協作平臺中的漏洞發布了補丁。 開發人員表示，如果被利用，Open Graph Navigation Library (OGNL) 漏洞將允許未經身份驗證的用戶在 Confluence 服務器或數據中心上執行任意代碼實例。

OGNL 還被 2018 年通過 Apache Struts 2 漏洞 CVE-2018-11776 攻破 Equifax 的攻擊者所利用。

此外，在上周末，網絡安全和基礎設施安全局 (CISA) 發出警報， 敦促管理員修補影響思科企業網絡功能虛擬化基礎設施軟件 (NFVIS) 的關鍵漏洞。

影響產品的 4.5.1 版，CVE-2021-34746 可能允許遠程攻擊者控制受影響的系統。

“此漏洞是由于對傳遞給身份驗證腳本的用戶提供的輸入的驗證不完整，” 思科解釋說。

“攻擊者可以通過在身份驗證請求中注入參數來利用此漏洞。成功的利用可能允許攻擊者繞過身份驗證并以管理員身份登錄受影響的設備。”

沒有解決此漏洞的變通方法，因此修補成為受影響組織的唯一選擇。

這兩個警報發出之際，美國政府專家警告說，勒索軟件威脅行為者越來越有可能在假期周末之前發動襲擊。

除了及時修補，國家安全顧問 Anne Neuberger 還建議 組織部署多因素身份驗證、最新備份和強密碼。她還建議組織審查其事件響應計劃。