攻击者积极利用Atlassian Confluence中的严重0day漏洞(6.6)

在Atlassian Confluence中,网络罪犯正在滥用一个被追踪为CVE-2022-26134的0day漏洞。这些攻击包含安装webshell来实现远程代码执行。

详细情况

最近,Atlassian发布了一份安全报告,提供了关于0day漏洞的细节。该缺陷是一个未经认证的RCE漏洞,影响着Confluence数据中心和Confluence服务器。

  • Atlassian已在Confluence Server 7.18.0版本以及Confluence Server和Data Center 7.4.0及更高版本中确认该漏洞。
  • 多名中国攻击者被认为正在使用这些漏洞。

此外,CISA已将这一0day漏洞添加到其“已知被利用漏洞目录”中,并敦促联邦机构从6月3日起封锁其Confluence服务器的所有互联网流量。

研究人员解释称,该漏洞是在周末进行事故应急响应的过程中被发现的,他们复制了这个漏洞,并于5月31日向Atlassian披露该漏洞。

攻击者使用BEHINDER安装了一个简单的文件上传工具作为备份以及一个China Chopper webshell。

此外,他们丢弃了Confluence服务器的用户列表,编写了额外的webshell,并修改了访问日志,以躲避检测。

当前还没有可用补丁,但Atlassian已经提出了修复建议。首先,用户可以从互联网上限制对Confluence 服务器和数据中心实例的访问,第二种选择是禁用Confluence 服务器和数据中心实例。

参考链接

https://cyware.com/news/attackers-actively-exploit-critical-zero-day-in-atlassian-confluence-84d92b74

作者 安芯网盾