Af Eskil Sørensen, 09/06/22
Adskillige botnets bruger nu udnyttelser rettet mod en RCE-sårbarhed for at inficere Linux-servere, der kører upatchede installationer af Atlassian Confluence Server og Data Center. Det skriver Bleeping Computer.
Udnyttelse af fejlen giver uautoriserede angribere mulighed for at oprette nye administratorkonti, udføre kommandoer og i sidste ende overtage serveren eksternt.
Fejlen har id’et CVE-2021-26084 og er altså en gammel fejl, der blev opdaget i august 2021. Den er dermed ikke identisk med den 0-dagssårbarhed i samme systemer, der blev bekendtgjort i sidste uge (CVE-2022-26134), og som fik CISA til at give amerikanske myndigheder en dag til at håndtere den.
Men denne 2021-fejl er også alvorlig nok med en CVSS-score på 9,8, og det er denne, der nu er blevet genstand for opmærksomhed hos gamle botnet-kendinge: Kinsing, Hezb og Dark.IoT.
Det er cybersikkerhedsfirmaet GreyNoise, der har opdaget en næsten ti-dobling stigning i aktiv udnyttelse fra 23 IP-adresser til mere end 200. Dette efter at proof-of-concept (PoC) udnyttelser er blevet offentliggjort online. De tre botnets er kendt for at angribe sårbare Linux-servere og implementere bagdøre og kryptominere.
Særligt skulle Kinsing ifølge Bleeping Computer være god til at udnytte Confluence ved at bruge en anden kritisk Atlassian Confluence RCE-fejl til at installere kryptominere.
Atlassian anbefaler i sin opdaterede version af advisoriet vedr. CVE-2022-26134 kunderne at opgradere til en fast version af Confluence, da der er flere andre sikkerhedsrettelser inkluderet i de faste versioner af Confluence.
Links:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html