Shadowserver 于周一报告称,其系统记录了数千次尝试利用 Atlassian Confluence Data Center 和 Server 的关键漏洞。根据他们在 X 账户 的发布,Shadowserver 观察到总计 39048 个事件,涉及 18154 个端口和 602 个独特的 IP 地址。
“我们自 2024 年 1 月 19 日以来一直在看到针对 Atlassian Confluence CVE202322527 的预认证模板注入 RCE 尝试。目前已有超过 600 个 IP 发起攻击测试回调尝试和 whoami 执行。”
漏洞影响了过期版本的 Confluence。
根据 SC Media 于 1 月 17 日的报道,使用 Confluence Data Center 和 Server 版本 8 的 Atlassian 客户,如果未更新到至少 854于 12 月 5 日发布,则会受到影响。Atlassian 强烈建议所有客户立即更新至最新的 Confluence 版本 855。
这一关键漏洞 CVE202322527 由于攻击者能够在低复杂度的攻击中实现远程代码执行RCE,且无需身份验证,被 Atlassian 评定为最高 CVSS 分数 10。
CVE202322527 作为一个模板注入漏洞,类似于 CVE202322522,也可能导致 Confluence Data Center 和 Server 的 RCE。然而,前者需要身份验证,而这一新的利用漏洞则允许未经身份验证的用户发起攻击。这个最新的漏洞由安全研究员 Petrus Viet 于 12 月 13 日作为 Atlassian 的漏洞赏金计划一部分发现并报告。
Critical Start 的网络威胁情报研究分析师 Sarah Jones 表示,与某些漏洞不同,CVE202322527 的严重性和潜在利用的广泛性使其显得尤为突出。Jones 特别提到,攻击者无需身份验证就能够利用此漏洞,这大大增加了潜在攻击面。
Jones 还强调,修补延迟是一个显著的威胁,因为这为攻击者利用漏洞创造了机会。她指出,组织应加快修补过程,及时保护 Confluence 实例,并降低相关风险。
“本质上,Confluence 实例变得更加容易受到攻击,使得组织在数据和系统安全方面的风险增大。”Jones 解释道,“识别的漏洞引入了多种风险,主要源自于 Confluence 中的模板注入缺陷。恶意行为者可以利用这一缺陷将有害代码注入 Confluence 模板,导致在易受攻击的系统上实现未经身份验证的 RCE。这基本上赋予了攻击者对 Confluence 实例的全面控制权,对关键数据构成了严重威胁。”
Bambenek Consulting 的总裁 John Bambenek 指出,Confluence Data Center 和 Confluence Server 的终端由不信任云的组织使用,以存储敏感内容,比如代码、机密和架构图。
“如果我想了解组织架构的
白鲸加速器官网白鲸加速器最新版1.45上线,优化节点调度与连接速度,提升日常使用流畅度。
