近期，勒索軟件團(tuán)伙瞄準(zhǔn)了一個(gè)遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞，該漏洞影響會(huì)Atlassian Confluence服務(wù)器和數(shù)據(jù)中心。如果成功利用此OGNL注入漏洞 (CVE-2022-26134)，未經(jīng)身份驗(yàn)證的攻擊者可以通過(guò)創(chuàng)建新管理員帳戶(hù)和執(zhí)行任意代碼遠(yuǎn)程接管未修復(fù)補(bǔ)丁的服務(wù)器。雖然該漏洞被暴露后Atlassian也及時(shí)做出響應(yīng)，但因其概念驗(yàn)證漏洞也一并被泄露到了網(wǎng)上，這就導(dǎo)致很多黑客都可以利用該漏洞，目前多個(gè)僵尸網(wǎng)絡(luò)和威脅參與者在野外積極利用它來(lái)部署加密惡意軟件。

瑞士網(wǎng)絡(luò)威脅情報(bào)公司Prodaft的研究人員發(fā)現(xiàn)AvosLocker勒索軟件分支機(jī)構(gòu)已經(jīng)加入了這一行列。他們瞄準(zhǔn)并入侵暴露在互聯(lián)網(wǎng)上的未打補(bǔ)丁的Confluence服務(wù)器“以大規(guī)模系統(tǒng)地感染多個(gè)受害者。AvosLocker的命令和控制服務(wù)器的截圖表明了威脅行為者已經(jīng)對(duì)Confluence下手了。

在采訪(fǎng)中，Prodaft 表示通過(guò)在各種網(wǎng)絡(luò)上執(zhí)行大規(guī)模掃描，AvosLocker 威脅參與者正搜索用于運(yùn)行Atlassian Confluence系統(tǒng)的易受攻擊的機(jī)器。且AvosLocker 已經(jīng)成功感染了來(lái)自全球不同地區(qū)的多個(gè)企業(yè)，包括但不限于美國(guó)、歐洲和澳大利亞。

還被很多受害者表示，Cerber2021勒索軟件(也稱(chēng)為CerberImposter)也在積極利用Confluence CVE-2022-26134漏洞。ID-Ransomware的創(chuàng)建者M(jìn)ichael Gillespie說(shuō)，被識(shí)別為CerberImposter的提交文件包括加密的Confluence配置文件，這表明Confluence實(shí)例正在被加密。且CVE-2022-26134 POC漏洞的發(fā)布與Cerber勒索軟件攻擊成功次數(shù)的增加同時(shí)發(fā)生。

微軟周五晚上還證實(shí)，他們已經(jīng)看到Confluence服務(wù)器被利用來(lái)安裝Cerber2021勒索軟件。Cerber此前曾于2021年12月使用CVE-2021-26084漏洞攻擊全球范圍內(nèi)的Confluence 服務(wù)器，該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者在易受攻擊的系統(tǒng)上遠(yuǎn)程執(zhí)行代碼。網(wǎng)絡(luò)安全公司Volexity上周將CVE-2022-26134歸為一個(gè)被積極利用的零日漏洞，CISA還命令聯(lián)邦機(jī)構(gòu)通過(guò)阻止其網(wǎng)絡(luò)上Confluence服務(wù)器的所有互聯(lián)網(wǎng)流量來(lái)緩解該漏洞。在漏洞信息發(fā)布一天后，Atlassian發(fā)布了安全更新并敦促其客戶(hù)及時(shí)更新補(bǔ)丁以阻止持續(xù)的攻擊發(fā)生。