CERBER勒索软件利用Confluence RCE等多个高危漏洞攻击云主机
一、概述
12月6日,腾讯安全Cyber-Holmes引擎系统检测并发出告警:CERBER勒索软件传播者利用Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLab exiftool 远程代码执行漏洞(CVE-2021-22205)攻击云上主机。被勒索软件加密破坏的文件无密钥暂不能解密,腾讯安全专家建议所有受影响的用户尽快修复漏洞,避免造成数据完全损失,业务彻底崩溃。
Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084)为8月26日披露的高危漏洞,该漏洞的CVSS 评分为 9.8,是一个对象图导航语言 (ONGL) 注入漏洞,允许未经身份验证的攻击者在 Confluence Server 或Data Center实例上执行任意代码,攻击者利用漏洞可完全控制服务器。
GitLab exiftool远程命令执行漏洞(CVE-2021-22205)同样也是网络黑产疯狂利用的高危漏洞。由于Gitlab某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码,攻击者利用漏洞同样可以完全控制服务器。
腾讯安全专家指出,网络黑灰产业对高危漏洞的利用之快令人印象深刻,在Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLab exiftool 远程代码执行漏洞(CVE-2021-22205)漏洞详情及POC代码公开之后,已检测到多个网络黑灰产业对云主机发起多轮攻击。这些攻击较多为挖矿木马或其他僵尸网络,一般不会造成云主机崩溃瘫痪,今天捕获的针对linux云主机的勒索软件攻击,可造成数据完全损失,业务彻底崩溃。
二、漏洞影响范围
腾讯安全网络空间测绘数据显示,Atlassian Confluence 应用广泛,中国占比最高(21.46%)、其次是美国(21.36%)、德国(18.40%)。
受影响的版本:
Atlassian Confluence Server/Data Center < 6.13.23
6.14.0 <= Atlassian Confluence Server/Data Center < 7.4.11
7.5.0 <= Atlassian Confluence Server/Data Center < 7.11.6
7.12.0 <= Atlassian Confluence Server/Data Center < 7.12.5
安全版本:
Atlassian Confluence Server/Data Center 6.13.23
Atlassian Confluence Server/Data Center 7.4.11
Atlassian Confluence Server/Data Center 7.11.6
Atlassian Confluence Server/Data Center 7.12.5
Atlassian Confluence Server/Data Center 7.13.0
有关Gitlab exiftool远程命令执行漏洞(CVE-2021-22205)的更多信息,可参考:
https://mp.weixin.qq.com/s/Xzz_3VYFGi7hFHBplOOLZQ
三、参考链接:
https://jira.atlassian.com/browse/CONFSERVER-67940
https://mp.weixin.qq.com/s/SwkRSElJ04bmbUtnnF4MlQ
https://mp.weixin.qq.com/s/11c203ejxfb9ZBXtyjEhvg
https://mp.weixin.qq.com/s/X7tPyImyxuyutcrwQADbcQ
https://mp.weixin.qq.com/s/d8citoIBpMQKsVf931PLFw
https://mp.weixin.qq.com/s/Xzz_3VYFGi7hFHBplOOLZQ
