美国网络司令部警告：利用Atlassian漏洞的持续攻击正在爆发

美国网络司令部周五警告说，针对影响 Atlassian Confluence 部署的现已修补的关键安全漏洞正在进行大规模利用企图，未经身份验证的攻击者可能会滥用该漏洞来控制易受攻击的系统。

“对 Atlassian Confluence CVE-2021-26084 的大规模利用正在进行中，预计会加速，”网络国家任务部队 (CNMF)在一条推文中说。美国网络安全和基础设施安全局 ( CISA ) 和Atlassian 本身也在一系列独立咨询中回应了这一警告。

Bad Packets在 Twitter 上指出，它“检测到来自巴西、尼泊尔、罗马尼亚、俄罗斯和美国的主机的大规模扫描和利用活动，目标是容易受到远程代码执行影响的 Atlassian Confluence 服务器。”

根据极牛网GEEKNB.COM小编的梳理，Atlassian Confluence 是一个广受欢迎的基于 Web 的文档平台，它允许团队在不同的项目上创建、协作和组织，提供了一个在企业环境中共享信息的通用平台。它的客户包括奥迪、Docker、GoPro、Hubspot、LinkedIn、晨星、美国宇航局、纽约时报和 Twilio 等几家大公司。

该开发是在这家澳大利亚公司于 8 月 25 日针对OGNL（对象图导航语言）注入漏洞推出安全更新几天后进行的，在特定情况下，该漏洞可被利用在 Confluence 服务器或数据中心实例上执行任意代码。

换句话说，攻击者可以利用这个弱点来执行与运行服务的用户具有相同权限的任何命令，更糟糕的是，滥用访问权限以获得更高的管理权限，从而使用未修补的本地漏洞对主机进行进一步攻击。

该漏洞被分配了标识符 CVE-2021-26084，在 CVSS 评分系统上的严重性等级为 9.8 分（满分 10 分），影响 6.13.23 之前的所有版本，从 7.4.11 之前的版本 6.14.0，从7.11.6 之前的 7.5.0 版，以及 7.12.5 之前的 7.12.0 版。

此漏洞已在以下版本中得到解决：

• 6.13.23
• 7.4.11
• 7.11.6
• 7.12.5
• 7.13.0

在补丁发布后的几天里，多个威胁参与者抓住机会利用该漏洞，诱使潜在受害者大规模扫描易受攻击的 Confluence 服务器并在较早公开发布概念验证 (PoC) 漏洞后安装加密矿工本星期。参与其中的研究人员之一 Rahul Maini将开发 CVE-2021-26084 漏洞的过程描述为“比预期的相对简单”。