已經發現機會主義威脅行為者積極利用最近披露的跨Windows和Linux的Atlassian Confluence 部署中的一個關鍵安全漏洞來部署web shell,從而導致在受感染系統上執行加密礦工。
在跨Windows和Linux的Atlassian Confluence部署中,機會主義威脅行為者被發現積極利用最近披露的一個關鍵安全漏洞來部署web shell,從而導致在受感染的系統上執行加密礦工。
該漏洞被跟蹤為CVE-2021-26084(CVSS 評分:9.8),涉及 OGNL(對象圖導航語言)注入漏洞,可利用該漏洞在Confluence服務器或數據中心實例上實現任意代碼執行。
趨勢科技的研究人員在一份詳細介紹該漏洞的技術報告中指出:“遠程攻擊者可以通過向易受攻擊的服務器發送包含惡意參數的精心制作的HTTP請求來利用該漏洞。”“成功的利用可能導致在受影響服務器的安全上下文中任意執行代碼。”
該漏洞存在于Atlassian Confluence服務器和數據中心的Webwork模塊中,其原因是對用戶提供的輸入驗證不足,導致解析器對注入到OGNL表達式中的惡意命令進行評估。
在今年8月下旬公開披露該漏洞后,美國網絡司令部警告稱,在該漏洞公開后,可能會出現大規模的攻擊。
在趨勢科技觀察到的一次此類攻擊中,發現 z0Miner(一種木馬和密碼劫持程序)被更新以利用遠程代碼執行 (RCE) 缺陷來分發下一階段的有效負載,這些負載作為一個通道,以保持持久性并在機器上部署加密貨幣挖掘軟件。Imperva在一項獨立分析中證實了這一發現,發現了旨在運行XMRig加密貨幣礦工和其他后開發腳本的類似入侵嘗試。
Imperva、Juniper和Lacework還檢測到Muhstik的利用活動。
此外,Palo Alto Networks 的 Unit 42 威脅情報團隊表示,它識別并阻止了精心策劃的攻擊,這些攻擊旨在上傳客戶的密碼文件以及下載帶有惡意軟件的腳本來下載礦工,甚至在機器上打開交互式反向shell。
Imperva的研究人員表示:就像RCE漏洞經常發生的情況一樣,攻擊者會迅速利用受影響的系統來獲取自己的利益。”“RCE漏洞很容易讓威脅行動者利用受影響的系統,通過安裝加密貨幣礦工和掩蓋他們的活動,從而濫用目標的處理資源,輕松獲取金錢。
Atlassian是一個澳大利亞的企業軟件公司,設計發布針對軟件開發工程師和項目經理的企業軟件。Atlassian公司以其產品項目跟蹤軟件JIRA和團隊協同軟件Confluence而聞名。由于軟件被企業使用,因此軟件中的安全漏洞很容易引起供應鏈攻擊,從而給客戶造成嚴重安全影響。
隨著現在軟件供應鏈模式已成為主流,任何一個軟件安全漏洞都可能導致不可計數的企業遭到攻擊。數據顯示,90%的網絡攻擊事件都與漏洞利用相關,由此可見安全漏洞在網絡攻擊中起到至關重要的作用。而企業在軟件開發過程中使用靜態代碼檢測工具可以減少30%到70%的安全漏洞,因此隨著網絡安全形式愈發嚴峻,為了確保網絡安全應從源頭代碼做好安全檢測,以減少軟件安全漏洞筑牢網絡安全根基。Wukong(悟空)靜態代碼檢測工具,從源碼開始,為您的軟件安全保駕護航!
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/121861.html
