Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng Atlassian Confluence RCE bị khai thác trong nhiều chiến dịch tấn công
Hacker đang tích cực khai thác một lỗ hổng nghiêm trọng được tiết lộ thời gian gần đây trong Atlassian Confluence trên Windows và Linux. Khai thác thành công lỗ hổng cho phép triển khai web shell, từ đó thực thi các công cụ đào tiền điện tử trên các hệ thống bị xâm nhập.
Lỗ hổng CVE-2021-26084 (điểm CVSS: 9,8) liên quan đến lỗi chèn OGNL (Ngôn ngữ điều hướng biểu đồ đối tượng) có thể bị khai thác để thực thi mã tùy ý trên Confluence Server hoặc Data Center.
“Kẻ tấn công từ xa có thể khai thác lỗ hổng bằng cách gửi một yêu cầu HTTP có chứa tham số độc hại đến một máy chủ bị ảnh hưởng bởi lỗ hổng”, các nhà nghiên cứu của Trend Micro lưu ý trong một bài viết kỹ thuật nêu chi tiết về lỗ hổng. "Khai thác thành công có thể dẫn đến việc thực thi mã tùy ý trên máy chủ bị ảnh hưởng".
Lỗ hổng tồn tại trong mô-đun Webwork của Atlassian Confluence Server và Data Center, bắt nguồn từ việc không đủ xác thực đầu vào do người dùng cung cấp, khiến trình phân tích cú pháp đánh giá các lệnh giả mạo được đưa vào trong các biểu thức OGNL.
Các cuộc tấn công rầm rộ diễn ra sau khi lỗ hổng được công khai cuối tháng 8 vừa qua.
Trong một cuộc tấn công mà Trend Micro theo dõi, trojan đào tiền ảo z0Miner đã được cập nhật để khai thác lỗ hổng thực thi mã từ xa (RCE), từ đó phát tán các payload bám trụ để khai thác tiền điện tử. Một phân tích độc lập khác cũng chỉ ra các nỗ lực xâm nhập tương tự nhằm mục đích chạy công cụ khai thác tiền điện tử XMRig.
Chiến dịch tấn công của botnet Muhstik (liên quan tới Trung Quốc) cũng được phát hiện lây nhiễm các máy chủ Linux và thiết bị IoT ít nhất từ năm 2018.
Ngoài ra, Palo Alto Networks cho biết họ đã xác định và ngăn chặn các cuộc tấn công tải lên các file mật khẩu của khách hàng cũng như tải xuống các tập lệnh chứa mã độc.
Các nhà nghiên cứu của Imperva cho biết: “Như thường lệ với các lỗ hổng RCE, hacker sẽ chú tâm khai thác các hệ thống bị ảnh hưởng để thu lợi riêng. Các lỗ hổng RCE dễ dàng cho phép hacker khai thác các hệ thống bị ảnh hưởng để kiếm tiền dễ dàng bằng cách cài đặt các công cụ khai thác tiền điện tử và che giấu hoạt động, từ đó lạm dụng tài nguyên xử lý của thiết bị nạn nhân".
Lỗ hổng CVE-2021-26084 (điểm CVSS: 9,8) liên quan đến lỗi chèn OGNL (Ngôn ngữ điều hướng biểu đồ đối tượng) có thể bị khai thác để thực thi mã tùy ý trên Confluence Server hoặc Data Center.
“Kẻ tấn công từ xa có thể khai thác lỗ hổng bằng cách gửi một yêu cầu HTTP có chứa tham số độc hại đến một máy chủ bị ảnh hưởng bởi lỗ hổng”, các nhà nghiên cứu của Trend Micro lưu ý trong một bài viết kỹ thuật nêu chi tiết về lỗ hổng. "Khai thác thành công có thể dẫn đến việc thực thi mã tùy ý trên máy chủ bị ảnh hưởng".
Lỗ hổng tồn tại trong mô-đun Webwork của Atlassian Confluence Server và Data Center, bắt nguồn từ việc không đủ xác thực đầu vào do người dùng cung cấp, khiến trình phân tích cú pháp đánh giá các lệnh giả mạo được đưa vào trong các biểu thức OGNL.
Các cuộc tấn công rầm rộ diễn ra sau khi lỗ hổng được công khai cuối tháng 8 vừa qua.
Trong một cuộc tấn công mà Trend Micro theo dõi, trojan đào tiền ảo z0Miner đã được cập nhật để khai thác lỗ hổng thực thi mã từ xa (RCE), từ đó phát tán các payload bám trụ để khai thác tiền điện tử. Một phân tích độc lập khác cũng chỉ ra các nỗ lực xâm nhập tương tự nhằm mục đích chạy công cụ khai thác tiền điện tử XMRig.
Chiến dịch tấn công của botnet Muhstik (liên quan tới Trung Quốc) cũng được phát hiện lây nhiễm các máy chủ Linux và thiết bị IoT ít nhất từ năm 2018.
Ngoài ra, Palo Alto Networks cho biết họ đã xác định và ngăn chặn các cuộc tấn công tải lên các file mật khẩu của khách hàng cũng như tải xuống các tập lệnh chứa mã độc.
Các nhà nghiên cứu của Imperva cho biết: “Như thường lệ với các lỗ hổng RCE, hacker sẽ chú tâm khai thác các hệ thống bị ảnh hưởng để thu lợi riêng. Các lỗ hổng RCE dễ dàng cho phép hacker khai thác các hệ thống bị ảnh hưởng để kiếm tiền dễ dàng bằng cách cài đặt các công cụ khai thác tiền điện tử và che giấu hoạt động, từ đó lạm dụng tài nguyên xử lý của thiết bị nạn nhân".
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: