針對未修補的Atlassian Confluence數(shù)據(jù)中心和服務(wù)器技術(shù)的主動勒索軟件和其他網(wǎng)絡(luò)攻擊已促使Atlassian將該漏洞CVE-2023-22518的CVSS評分從原來的9.1分提高到10分，這是該等級中最關(guān)鍵的評級。據(jù)稱，Atlassian Confluence數(shù)據(jù)中心和服務(wù)器的所有版本都會受到影響，但云實例則不會。公告補充說，目前已觀察到針對該漏洞的積極利用，包括勒索軟件。Rapid7的研究人員還發(fā)布了周末（11月5日）開始的滾雪球式攻擊的咨詢警告。這種不正確的授權(quán)漏洞允許未經(jīng)身份驗證的攻擊者重置Confluence并創(chuàng)建Confluence實例管理員帳戶。使用此帳戶，攻擊者可以執(zhí)行Confluence實例管理員可用的所有管理操作，從而導(dǎo)致機密性、完整性和可用性完全喪失。Atlassian Confluence漏洞于10月31日首次披露，并于11月3日被觀察到正在被積極利用，11月6日修正漏洞的CVSS評分至10分。

不斷升級的警告

Atlassian首席信息安全官Bala Sathiamurthy上周就該漏洞向公眾發(fā)出警告，他表示該漏洞“如果被利用，可能會導(dǎo)致重大數(shù)據(jù)丟失”。本周晚些時候，該公司更新了其公告，稱雖然沒有證據(jù)表明存在主動利用，但它確實觀察到“公開發(fā)布的有關(guān)該漏洞的關(guān)鍵信息增加了利用風(fēng)險”。

“在發(fā)現(xiàn)未利用的漏洞后，我們于2023年10月31日發(fā)布了關(guān)鍵安全公告，敦促客戶立即采取行動。盡管仍然沒有已知的漏洞利用，但我們于2023年11月2日發(fā)布了另一波警示，指出在觀察到公開發(fā)布的有關(guān)該漏洞的關(guān)鍵信息后，尚未應(yīng)用補丁的任何客戶的風(fēng)險都會增加，”Atlassian發(fā)言人周二（11月7日）表示。

“2023年11月3日，我們向客戶發(fā)出了有關(guān)主動利用漏洞的警告，并在發(fā)現(xiàn)包括勒索軟件攻擊在內(nèi)的惡意活動證據(jù)后，于2023年11月6日升級了這一漏洞?！?/span>

11月5日，Rapid7的網(wǎng)絡(luò)安全研究人員和事件響應(yīng)人員表示，他們看到黑客Cerber利用該進行攻擊，Cerber是一個被認為早已不復(fù)存在的勒索軟件品牌。

Huntress和Red Canary等其他公司也支持Rapid7的評估，即黑客利用該漏洞后正在使用Cerber勒索軟件。

真正的大規(guī)模攻擊已開始

Atlassian發(fā)言人周二（11月7日）表示，該公司有證據(jù)支持網(wǎng)絡(luò)安全研究人員周末報告的內(nèi)容：CVE-2023-22518（影響Confluence 數(shù)據(jù)中心和Confluence服務(wù)器產(chǎn)品的漏洞）正被用于網(wǎng)絡(luò)犯罪。

攻擊鏈涉及大規(guī)模利用易受攻擊的面向互聯(lián)網(wǎng)的Atlassian Confluence服務(wù)器來獲取遠程服務(wù)器上托管的惡意有效負載，從而導(dǎo)致勒索軟件有效負載在受感染的服務(wù)器上執(zhí)行。

GreyNoise收集的數(shù)據(jù)顯示，攻擊嘗試來自位于法國、香港和俄羅斯的三個不同IP地址。

Atlassian警告安全團隊注意以下內(nèi)容：

失去登錄或訪問權(quán)限

網(wǎng)絡(luò)訪問日志中對 /json/setup-restore* 的請求

安裝了未知插件，觀察到名為“web.shell.Plugin”的插件的報告

加密的文件或損壞的數(shù)據(jù)

匯合管理員組的意外成員

意外新創(chuàng)建的用戶帳戶

Cerber勒索的回歸

Cerber勒索軟件操作在2016年至2019年期間很活躍，但在2021年發(fā)現(xiàn)針對容易受到另一個漏洞CVE-2021-26084影響的Confluence 實例。當時，2021年活動背后的黑客瞄準了中國、德國和美國的受害者，要求0.04比特幣來換取解密器。

幾位勒索軟件專家表示，他們已經(jīng)很多年沒有看到Cerber勒索軟件被使用了。

Cerber勒索軟件說明，2023年Cerber勒索軟件說明。圖片：Rapid7

當被問及情況時，Rapid7漏洞研究負責(zé)人Caitlin Condon稱，該團隊提取的勒索軟件注釋標題為“C3RB3R指令”，文件使用擴展名“L0CK3D”進行加密，這是Cerber勒索軟件的常見模式。

“然而，值得注意的是，我們正在分析和歸因惡意軟件，而不是威脅行為者，”她說。

“近年來，勒索軟件生態(tài)系統(tǒng)發(fā)生了顯著變化和多樣化——源代碼被泄露，組件被重復(fù)使用，來自知名團體的對手已經(jīng)改變了忠誠度（并帶走了他們所謂的知識產(chǎn)權(quán)），附屬機構(gòu)和訪問經(jīng)紀人已經(jīng)發(fā)展了策略和技術(shù)等等?！?/span>

Condon接著指出，在最近的其他攻擊中，該公司發(fā)現(xiàn)黑客使用源代碼被泄露的勒索軟件。該理論認為，獨狼攻擊者正在利用泄露的代碼來“賺快錢”。

Condon說，研究人員正在“分析惡意軟件和工件，而不是歸因于人類對手”。

Rapid7表示，多個客戶正在通過CVE-2023-22518被利用，Red Canary和Huntress表示，他們在攻擊中看到了相同的 .LOCK3D文件擴展名。

Huntress研究人員表示，在線Shodan搜索工具上對“confluence”的基本搜索顯示超過200,000個可能存在漏洞的端點，更狹義的搜索發(fā)現(xiàn)了超過5,600個可能存在漏洞的端點。但該公司指出，這兩種搜索都無法證明可利用性或版本號，而只是“證明Confluence通常是可公開訪問的”。

參考資源：

1.https://www.darkreading.com/vulnerabilities-threats/atlassian-bug-escalated-10-unpatched-instances-vulnerable

2.https://thehackernews.com/2023/11/experts-warn-of-ransomware-hackers.html

3.https://therecord.media/atlassian-confirms-ransomware-using-confluence-bug-cerber

4.https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

原文來源：網(wǎng)空閑話plu