Defeito de confluência Atlassian explorou ativamente para instalar criptomoedas

Os hackers estão investigando e explorando ativamente uma vulnerabilidade de execução remota de código do Atlassian Confluence recentemente divulgada para instalar mineradores de criptografia depois que uma exploração de PoC foi lançada publicamente.

O Atlassian Confluence é um popular espaço de trabalho de equipe empresarial baseado na Web que permite que os funcionários colaborem em projetos.

Em 25 de agosto, a Atlassian emitiu um aviso de segurança para uma vulnerabilidade de Execução Remota de Código do Confluence (RCE) rastreada como CVE-2021-26084, que permite que um invasor não autenticado execute comandos remotamente em um servidor vulnerável.

"Existe uma vulnerabilidade de injeção OGNL que permite que um usuário autenticado e, em alguns casos, um usuário não autenticado, execute código arbitrário em uma instância do Confluence Server ou Data Center", explica Atlassian. Aviso CVE-2021-26084.

"Todas as versões do Confluence Server e Data Center anteriores às versões corrigidas listadas acima são afetadas por esta vulnerabilidade."

A Atlassian lançou patches para as vulnerabilidades e recomenda que os usuários atualizem para a versão Long Term Support.

Os servidores Confluence são explorados ativamente

Seis dias após a Atlassian publicar o comunicado, os pesquisadores publicaram um white paper explicando a vulnerabilidade e uma exploração de prova de conceito foi lançada publicamente.

Esta exploração PHP PoC é muito fácil de usar e, se for bem sucedida, executará um comando no servidor de destino. Por exemplo, os invasores podem usar esses comandos para baixar outros softwares, como webshells, ou iniciar um programa no servidor explorado.

Logo após a publicação do artigo e da PoC, as empresas de segurança cibernética começaram a relatar que os agentes de ameaças e pesquisadores de segurança estavam escaneando e explorando ativamente servidores Confluence vulneráveis.

Por exemplo, o Diretor de Engenharia da Coalizão Tiago Henriques Detectou testadores de penetração tentando encontrar a vulnerabilidade dos servidores Confluence, possivelmente devido a um bônus de bug.

No entanto, a empresa de inteligência de segurança cibernética Bad Packets viu atividades mais nefastas com agentes de ameaças de vários países aproveitando os servidores para baixar e executar scripts de shell do PowerShell ou Linux.

Com base em amostras de exploração postadas por Bad Packets, o BleepingComputer confirmou que os agentes de ameaças estão tentando instalar criptomineradores em servidores Windows e Linux Confluence.

Por exemplo, um invasor usa o script a seguir para instalar o minerador de criptomoeda XMRig para minerar Monero, conforme mostrado abaixo.

Script do PowerShell executado pela exploração do Confluence

Outra exploração ativa compartilhada com o BleepingComputer tenta baixar o malware Kinsing no servidor Linux, bem como instalar o coinminer.

Embora os ataques atuais sejam abusados ​​simplesmente para minerar criptomoedas, não há motivo para que os agentes de ameaças não possam usá-los para ataques mais avançados, especialmente se o servidor do confluence estiver hospedado no local.

Esses ataques podem incluir disseminação lateral por meio de uma rede, ataques de ransomware e exfiltração de dados.

Se sua organização estiver executando um servidor Confluence, é altamente recomendável que você instale as atualizações mais recentes o mais rápido possível.

  • Este novo script instalará o Windows 10 e 11 no seu Raspberry Pi com facilidade
  • FBI alerta sobre gangues de ransomware visando organizações de alimentos e agricultura

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

Deixe uma resposta Cancelar resposta

O que é Confluence e para que serve?

O Confluence é um espaço de trabalho em equipe onde o conhecimento e a colaboração se unem. As Páginas Dinâmicas dão à sua equipe um local para criar, capturar e colaborar em qualquer projeto ou ideia.

Como criar uma Confluência?

As páginas podem ser criadas de qualquer lugar no Confluence simplesmente clicando no botão Criar na barra superior. Se uma página for criada a partir de um modelo, uma janela como a abaixo aparecerá. Uma página em branco ou qualquer outro modelo disponível pode ser selecionado.

Como usar o Confluence com o Jira?

Há muitas maneiras de integrar o Confluence e o Jira . Aqui explicamos como fazer.

Este é o primeiro passo para integrar o Confluence e o Jira .

  1. Vá para o Jira e na barra lateral à esquerda, abra as Páginas do Projeto.
  2. Clique em Conectar ao Confluence .
  3. Encontre o espaço do Confluence que você deseja conectar.

Como colocar comentários no Confluence?

Você também pode curtir páginas, publicações e comentários no Confluence Cloud. Quando você fizer isso, o autor receberá uma notificação como um aviso.

Para deixar um comentário incorporado:

  1. Realce o texto ao qual você deseja responder.
  2. Toque em Comentário.
  3. Escreva o texto e toque em Salvar.
Ir arriba