El Comando Cibernético de EE. UU. ha advertido sobre ataques en curso utilizando el Atlassian Confluence Flaw

Noticias 21 de enero de 2022

confluencia de atlas

El Comando Cibernético de EE. UU. advirtió el viernes sobre continuos intentos de explotación masiva en la naturaleza, apuntando a una vulnerabilidad de seguridad crítica ahora reparada que afecta el despliegue de Atlassian Confluence, que podría ser explotada por atacantes no verificados para tomar el control de un sistema vulnerable.

«El uso masivo de Atlassian Confluence CVE-2021-26084 está en curso y se espera que se acelere», Cyber ​​​​National Mission Force (CNMF) él dijo en tuit. Las advertencias también fueron reiteradas por la Agencia de Seguridad de Infraestructura y Seguridad Cibernética de EE. UU. (CISA) y el propio Atlassian en una serie de recomendaciones independientes.

Paquetes malos El lo notó en Twitter, «se encontraron escaneos masivos y abusos de hosts en Brasil, China, Hong Kong, Nepal, Rumania, Rusia y EE. UU. dirigidos a servidores Atlassian Confluence vulnerables a la ejecución remota de código».

Atlassian Confluence es un servicio de documentación basado en la web muy popular que permite a los equipos crear, colaborar y organizar una variedad de proyectos y ofrece una plataforma común para compartir información en un entorno empresarial. Entre sus clientes se encuentran varias empresas importantes, incluidas Audi, Docker, GoPro, Hubspot, LinkedIn, Morningstar, NASA, The New York Times y Twilio.

Este desarrollo se produce días después de que la empresa australiana publicara actualizaciones de seguridad para el error de incrustación del lenguaje de navegación de gráficos de objetos (OGNL) el 25 de agosto, que en algunos casos podría explotarse para ejecutar código arbitrario en una instancia de Confluence Server o Data Center.

En otras palabras, un adversario puede aprovechar esta vulnerabilidad para ejecutar cualquier comando con los mismos privilegios que el usuario que ejecuta el servicio y, lo que es peor, aprovechar el acceso a privilegios administrativos elevados para prepararse para ataques adicionales contra el host utilizando vulnerabilidades locales no corregidas.

Un error al que se le asignó el identificador CVE-2021-26084 y tiene una calificación de gravedad de 9.8 sobre 10 en el sistema de calificación CVSS afecta a todas las versiones anteriores a la 6.13.23, desde la versión 6.14.0 antes de la 7.4.11, desde la versión 7.5. 0 antes de la 7.11.6 y desde la versión 7.12.0 antes de la 7.12.5.

Este problema se ha resuelto en las siguientes versiones:

  • 6.13.23
  • 7.4.11
  • 7.11.6
  • 7.12.5
  • 7.13.0

En los días transcurridos desde que se lanzaron los parches, varios actores de amenazas aprovecharon la oportunidad para explotar esta vulnerabilidad mediante el escaneo masivo de servidores vulnerables de Confluence para atrapar a posibles víctimas e instalar criptomineros después de un exploit de explotación de concepto (PoC) publicado anteriormente. esta semana. Rahul Maini a áspero jaiswal, investigadores participantes, descrito Explotar el proceso CVE-2021-26084 como «relativamente más simple de lo esperado».

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes