Cập nhật ngay: Atlassian vá lỗ hổng zero-day nghiêm trọng trên Confluence

[whf]

[Cập nhật] Đã có bản vá giải quyết lỗ hổng zero-day trong Atlassian Confluence​

Atlassian đã phát hành bản vá giải quyết lỗ hổng zero-day trong các phiên bản:

• 7.4.17
• 7.13.7
• 7.14.3
• 7.15.2
• 7.16.4
• 7.17.4
• 7.18.1

Theo thống kê từ nền tảng tìm kiếm Censys, khoảng 9.325 dịch vụ trên 8.347 máy chủ riêng biệt đang chạy phiên bản Atlassian Confluence dễ bị tấn công, hầu hết nằm ở khu vực Mỹ, Trung Quốc, Đức, Nga và Pháp.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) bên cạnh việc thêm lỗi zero-day vào Danh mục các lỗ hổng được khai thác đã biết, cũng kêu gọi các tổ chức lập tức chặn tất cả lưu lượng truy cập Internet đến và đi từ các sản phẩm bị ảnh hưởng, đồng thời áp dụng các bản vá hoặc xóa các phiên bản trước 17h chiều (theo giờ ET) ngày 6 tháng 6 năm 2022.

Theo The Hacker News​

-------------------------------------

Một lỗ hổng zero-day nghiêm trọng trong Atlassian Confluence đang bị khai thác tích cực để cài đặt web shell. Hiện vẫn chưa có bản vá cho lỗ hổng này.

Atlassian vừa cảnh báo một lỗ hổng thực thi mã từ xa không cần xác thực trong các sản phẩm Confluence Server và Data Center có mã định danh là CVE-2022-26134, được cho là có điểm tương đồng với CVE-2021-26084 đã vá vào tháng 8 năm 2021.

Hãng xác nhận lỗ hổng tồn tại trong Confluence Server 7.18.0 và tin rằng Confluence Server cũng như Data Center 7.4.0 trở lên đều dễ bị tấn công, đồng thời cảnh báo tin tặc đang tích cực khai thác Confluence Server 7.18.0.

Theo thống kê của WhiteHat, đây là phần mềm quản lý dữ liệu phổ biến trên thế giới với hơn 8.000 dịch vụ đang public. Lỗ hổng vừa được công bố ảnh hưởng nghiêm trọng đến các đơn vị đang sử dụng vì khai thác thành công có thể thực thi mã từ xa, lây nhiễm ransomware để mã hóa dữ liệu và cài cắm backdoor để duy trì trong hệ thống.

Hiện đã xuất hiện các cuộc tấn công trên thực tế. Do vẫn chưa có bản vá cho lỗ hổng nên Atlassian khuyến nghị khách hàng thực hiện 1 trong 2 phương pháp sau để giảm thiểu rủi ro:

• Hạn chế truy cập Confluence Server và Data Center instance từ Internet.
• Vô hiệu hóa các Confluence Server và Data Center instance.

Ngoài ra, các tổ chức sử dụng Atlassian Cloud (truy cập qua atlassian.net) không bị ảnh hưởng bởi lỗ hổng. Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã thêm zero-day này vào “Danh mục các lỗ hổng đang bị khai thác” và yêu cầu các cơ quan liên bang chặn tất cả lưu lượng truy cập Internet đến các máy chủ Confluence từ ngày 3 tháng 6.

Các máy chủ đang bị khai thác​

Theo công ty an ninh mạng Volexity - đơn vị phát hiện lỗ hổng, lỗi được phát hiện vào cuối tuần trước trong khi thực hiện ứng phó sự cố. Sau khi điều tra, Volexity có thể tái tạo việc khai thác trên phiên bản Confluence Server mới nhất và báo với Atlassian vào ngày 31 tháng 5.

“Sau khi xem xét kỹ lưỡng dữ liệu thu thập được, chúng tôi có thể xác định tin tặc đã thực hiện tấn công thực thi mã từ xa để xâm nhập máy chủ”.

Cụ thể, những kẻ tấn công đã cài đặt web shell BEHINDER trên máy chủ bị xâm phạm từ xa, sau đó dùng BEHINDER để cài đặt web shell China Chopper cùng một công cụ upload đơn giản để dự phòng. Tin tặc đã hủy bảng người dùng của máy chủ Confluence, viết thêm các web shell và thay đổi nhật ký truy cập để tránh bị phát hiện.

Volexity nghi ngờ tin tặc từ Trung Quốc đang khai thác CVE-2022-26134 để xâm nhập vào các máy chủ Confluence chưa được vá và đang tiếp xúc với Internet. Vì vậy, quản trị viên Confluence nên ngắt kết nối máy chủ với Internet cho đến khi có bản vá, đồng thời phát hành danh sách các địa chỉ IP đằng sau các cuộc tấn công và các quy tắc Yara để xác định hoạt động web shell trên các máy chủ Confluence.

Theo: Bleeping Computer​