Hackernews 编译，转载请注明出处： 一周前，Atlassian为Confluence Server和Confluence Data Center的Confluence应用程序发布了补丁，其中包含一个关键漏洞，现在这个漏洞已经被广泛利用。 该漏洞追踪为CVE-2022-26138，它涉及在应用程序中使用硬编码密码，未经验证的远程攻击者可能会利用该密码获得对Confluence中所有页面的无限制访问权。 在Twitter上发布硬编码凭据之后，这家澳大利亚软件公司开始优先考虑补丁，以缓解针对该漏洞的潜在威胁。 值得注意的是，这个漏洞只在Confluence应用程序启用时才存在。也就是说，卸载Confluence应用程序并不能修复漏洞，因为在卸载应用程序后，创建的帐户不会自动删除。 建议受影响产品的用户尽快将其本地实例更新到最新版本（2.7.38和3.0.5），或采取措施禁用/删除该帐户。 Palo Alto Networks在其2022年Unit 42事件响应报告中发现，黑客在公开披露新的安全漏洞后15分钟内，会扫描易受攻击的端点。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期，勒索软件团伙瞄准了一个远程代码执行 (RCE) 漏洞，该漏洞影响会Atlassian Confluence服务器和数据中心。如果成功利用此OGNL注入漏洞 (CVE-2022-26134)，未经身份验证的攻击者可以通过创建新管理员帐户和执行任意代码远程接管未修复补丁的服务器。虽然该漏洞被暴露后Atlassian也及时做出响应，但因其概念验证漏洞也一并被泄露到了网上，这就导致很多黑客都可以利用该漏洞，目前多个僵尸网络和威胁参与者在野外积极利用它来部署加密恶意软件。 瑞士网络威胁情报公司Prodaft的研究人员发现AvosLocker勒索软件分支机构已经加入了这一行列。他们瞄准并入侵暴露在互联网上的未打补丁的Confluence服务器“以大规模系统地感染多个受害者。AvosLocker的命令和控制服务器的截图表明了威胁行为者已经对Confluence下手了。 在采访中，Prodaft 表示通过在各种网络上执行大规模扫描，AvosLocker 威胁参与者正搜索用于运行Atlassian Confluence系统的易受攻击的机器。且AvosLocker 已经成功感染了来自全球不同地区的多个企业，包括但不限于美国、欧洲和澳大利亚。 还被很多受害者表示，Cerber2021勒索软件(也称为CerberImposter)也在积极利用Confluence CVE-2022-26134漏洞。ID-Ransomware的创建者Michael Gillespie说，被识别为CerberImposter的提交文件包括加密的Confluence配置文件，这表明Confluence实例正在被加密。且CVE-2022-26134 POC漏洞的发布与Cerber勒索软件攻击成功次数的增加同时发生。 微软周五晚上还证实，他们已经看到Confluence服务器被利用来安装Cerber2021勒索软件。Cerber此前曾于2021年12月使用CVE-2021-26084漏洞攻击全球范围内的Confluence 服务器，该漏洞允许未经身份验证的攻击者在易受攻击的系统上远程执行代码。网络安全公司Volexity上周将CVE-2022-26134归为一个被积极利用的零日漏洞，CISA还命令联邦机构通过阻止其网络上Confluence服务器的所有互联网流量来缓解该漏洞。在漏洞信息发布一天后，Atlassian发布了安全更新并敦促其客户及时更新补丁以阻止持续的攻击发生。   转自 FreeBuf，原文链接：https://www.freebuf.com/articles/336011.html 封面来源于网络，如有侵权请联系删除

Atlassian Confluence 协作软件的用户昨天被警告要么限制对该软件的互联网访问，要么由于一个严重的漏洞而禁用它。 Atlassian于6月2日发布的一份公告称，已检测到“当前活跃的利用”。该公告现已更新，以反映该公司已发布版本 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 和 7.18.1，其中包含对此的修复问题。建议用户更新到这些版本。 美国网络安全和基础设施局 (CISA) “强烈建议组织查看Confluence 安全公告 2022-06-02以获取更多信息。CISA 敦促使用受影响的 Atlassian 的 Confluence 服务器和数据中心产品的组织阻止所有进出这些设备的互联网流量，直到更新可用并成功应用。” 如果没有来自公司防火墙外部的 VPN 访问，阻止访问将使协作变得不可能。在有如此多的远程工作的时候，这可能会带来极大的不便，或者可能会使远程工作人员无法使用该软件。鉴于 Atlassian 的网站声称 Confluence 在全球拥有超过 60,000 名用户，这可能会对大量公司造成非常严重的影响。 安全公司 Volexity 检测到该漏洞并将其报告给 Atlassian。Volexity 在其网站的博客中发布了他们的分析。 根据 Volexity 的说法，“攻击者使用了一个零日漏洞，现在分配了 CVE-2022-26134，它允许在服务器上执行未经身份验证的远程代码。” 分析继续警告说“这些类型的漏洞是危险的，因为只要可以向 Confluence Server 系统发出 Web 请求，攻击者就可以在没有凭据的情况下执行命令并完全控制易受攻击的系统。” 攻击者部署了BEHINDER植入程序的内存副本。Veloxity 指出，“这是一个广受欢迎的网络服务器植入程序，源代码可在 GitHub上找到。”BEHINDER 允许攻击者使用仅内存的 webshell，内置支持与Meterpreter和Cobalt Strike的交互。 在内存中植入BEHINDER特别危险，因为它允许攻击者执行指令而无需将文件写入磁盘。由于它没有持久性，因此重新启动或服务重新启动会将其清除。然而，在此之前，攻击者可以访问服务器并执行命令，而无需将后门文件写入磁盘。 Atlassian最初的建议表明所有受支持的Confluence Server和Data Center版本都受到了影响，并重复了限制对Internet的访问或禁用Confluence Server的建议。该公司现在表示，没有任何Atlassian Cloud站点受到影响，并且所有受影响的客户都已收到修复通知。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/OUwDJD41OSgXaEfXFOUQng 封面来源于网络，如有侵权请联系删除