針對(duì)未修補(bǔ)的Atlassian Confluence數(shù)據(jù)中心和服務(wù)器技術(shù)的主動(dòng)勒索軟件和其他網(wǎng)絡(luò)攻擊已促使Atlassian將該漏洞CVE-2023-22518的CVSS評(píng)分從原來的9.1分提高到10分，這是該等級(jí)中最關(guān)鍵的評(píng)級(jí)。據(jù)稱，Atlassian Confluence數(shù)據(jù)中心和服務(wù)器的所有版本都會(huì)受到影響，但云實(shí)例則不會(huì)。公告補(bǔ)充說，目前已觀察到針對(duì)該漏洞的積極利用，包括勒索軟件。Rapid7的研究人員還發(fā)布了周末（11月5日）開始的滾雪球式攻擊的咨詢警告。這種不正確的授權(quán)漏洞允許未經(jīng)身份驗(yàn)證的攻擊者重置Confluence并創(chuàng)建Confluence實(shí)例管理員帳戶。使用此帳戶，攻擊者可以執(zhí)行Confluence實(shí)例管理員可用的所有管理操作，從而導(dǎo)致機(jī)密性、完整性和可用性完全喪失。Atlassian Confluence漏洞于10月31日首次披露，并于11月3日被觀察到正在被積極利用，11月6日修正漏洞的CVSS評(píng)分至10分。

不斷升級(jí)的警告

Atlassian首席信息安全官Bala Sathiamurthy上周就該漏洞向公眾發(fā)出警告，他表示該漏洞“如果被利用，可能會(huì)導(dǎo)致重大數(shù)據(jù)丟失”。本周晚些時(shí)候，該公司更新了其公告，稱雖然沒有證據(jù)表明存在主動(dòng)利用，但它確實(shí)觀察到“公開發(fā)布的有關(guān)該漏洞的關(guān)鍵信息增加了利用風(fēng)險(xiǎn)”。

“在發(fā)現(xiàn)未利用的漏洞后，我們于2023年10月31日發(fā)布了關(guān)鍵安全公告，敦促客戶立即采取行動(dòng)。盡管仍然沒有已知的漏洞利用，但我們于2023年11月2日發(fā)布了另一波警示，指出在觀察到公開發(fā)布的有關(guān)該漏洞的關(guān)鍵信息后，尚未應(yīng)用補(bǔ)丁的任何客戶的風(fēng)險(xiǎn)都會(huì)增加，”Atlassian發(fā)言人周二（11月7日）表示。

“2023年11月3日，我們向客戶發(fā)出了有關(guān)主動(dòng)利用漏洞的警告，并在發(fā)現(xiàn)包括勒索軟件攻擊在內(nèi)的惡意活動(dòng)證據(jù)后，于2023年11月6日升級(jí)了這一漏洞?！?/span>

11月5日，Rapid7的網(wǎng)絡(luò)安全研究人員和事件響應(yīng)人員表示，他們看到黑客Cerber利用該進(jìn)行攻擊，Cerber是一個(gè)被認(rèn)為早已不復(fù)存在的勒索軟件品牌。

Huntress和Red Canary等其他公司也支持Rapid7的評(píng)估，即黑客利用該漏洞后正在使用Cerber勒索軟件。

真正的大規(guī)模攻擊已開始

Atlassian發(fā)言人周二（11月7日）表示，該公司有證據(jù)支持網(wǎng)絡(luò)安全研究人員周末報(bào)告的內(nèi)容：CVE-2023-22518（影響Confluence 數(shù)據(jù)中心和Confluence服務(wù)器產(chǎn)品的漏洞）正被用于網(wǎng)絡(luò)犯罪。

攻擊鏈涉及大規(guī)模利用易受攻擊的面向互聯(lián)網(wǎng)的Atlassian Confluence服務(wù)器來獲取遠(yuǎn)程服務(wù)器上托管的惡意有效負(fù)載，從而導(dǎo)致勒索軟件有效負(fù)載在受感染的服務(wù)器上執(zhí)行。

GreyNoise收集的數(shù)據(jù)顯示，攻擊嘗試來自位于法國、香港和俄羅斯的三個(gè)不同IP地址。

Atlassian警告安全團(tuán)隊(duì)注意以下內(nèi)容：

失去登錄或訪問權(quán)限

網(wǎng)絡(luò)訪問日志中對(duì) /json/setup-restore* 的請(qǐng)求

安裝了未知插件，觀察到名為“web.shell.Plugin”的插件的報(bào)告

加密的文件或損壞的數(shù)據(jù)

匯合管理員組的意外成員

意外新創(chuàng)建的用戶帳戶

Cerber勒索的回歸

Cerber勒索軟件操作在2016年至2019年期間很活躍，但在2021年發(fā)現(xiàn)針對(duì)容易受到另一個(gè)漏洞CVE-2021-26084影響的Confluence 實(shí)例。當(dāng)時(shí)，2021年活動(dòng)背后的黑客瞄準(zhǔn)了中國、德國和美國的受害者，要求0.04比特幣來換取解密器。

幾位勒索軟件專家表示，他們已經(jīng)很多年沒有看到Cerber勒索軟件被使用了。

Cerber勒索軟件說明，2023年Cerber勒索軟件說明。圖片：Rapid7

當(dāng)被問及情況時(shí)，Rapid7漏洞研究負(fù)責(zé)人Caitlin Condon稱，該團(tuán)隊(duì)提取的勒索軟件注釋標(biāo)題為“C3RB3R指令”，文件使用擴(kuò)展名“L0CK3D”進(jìn)行加密，這是Cerber勒索軟件的常見模式。

“然而，值得注意的是，我們正在分析和歸因惡意軟件，而不是威脅行為者，”她說。

“近年來，勒索軟件生態(tài)系統(tǒng)發(fā)生了顯著變化和多樣化——源代碼被泄露，組件被重復(fù)使用，來自知名團(tuán)體的對(duì)手已經(jīng)改變了忠誠度（并帶走了他們所謂的知識(shí)產(chǎn)權(quán)），附屬機(jī)構(gòu)和訪問經(jīng)紀(jì)人已經(jīng)發(fā)展了策略和技術(shù)等等?！?/span>

Condon接著指出，在最近的其他攻擊中，該公司發(fā)現(xiàn)黑客使用源代碼被泄露的勒索軟件。該理論認(rèn)為，獨(dú)狼攻擊者正在利用泄露的代碼來“賺快錢”。

Condon說，研究人員正在“分析惡意軟件和工件，而不是歸因于人類對(duì)手”。

Rapid7表示，多個(gè)客戶正在通過CVE-2023-22518被利用，Red Canary和Huntress表示，他們?cè)诠糁锌吹搅讼嗤?.LOCK3D文件擴(kuò)展名。

Huntress研究人員表示，在線Shodan搜索工具上對(duì)“confluence”的基本搜索顯示超過200,000個(gè)可能存在漏洞的端點(diǎn)，更狹義的搜索發(fā)現(xiàn)了超過5,600個(gè)可能存在漏洞的端點(diǎn)。但該公司指出，這兩種搜索都無法證明可利用性或版本號(hào)，而只是“證明Confluence通常是可公開訪問的”。

參考資源：

1.https://www.darkreading.com/vulnerabilities-threats/atlassian-bug-escalated-10-unpatched-instances-vulnerable

2.https://thehackernews.com/2023/11/experts-warn-of-ransomware-hackers.html

3.https://therecord.media/atlassian-confirms-ransomware-using-confluence-bug-cerber

4.https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

原文來源：網(wǎng)空閑話plu