В конце августа разработчики Atlassian выпустили исправление для уязвимости в Confluence, связанной с удаленным выполнением кода (RCE). Проблема имеет идентификатор CVE-2021-26084 и позволяет неаутентифицированному злоумышленнику удаленно выполнять команды на уязвимом сервере. Сообщалось, что проблема представляет опасность для всех версий Confluence Server и Data Center.
После выхода патча, исследователь, нашедший уязвимость, обнародовал ее детальное описание, приложив к своему отчету PoC-эксплоит. Написанный на PHP эксплоит оказался прост в использовании и действительно позволяет выполнять команды на целевом сервере. Злоумышленники могут использовать это для загрузки на уязвимый сервер другой малвари, веб-шеллов или запуска каких-либо программ.
Вскоре после публикации отчета и эксплоита специалисты по безопасности начали сообщать, что злоумышленники и ИБ-исследователи активно сканируют сеть в поисках уязвимых серверов Confluence. К примеру, эксперты из Bad обнаружили, что злоумышленники из разных стран эксплуатируют серверы для загрузки и запуска shell-скриптов PowerShell и Linux. Таким образом хакеры пытаются установить майнеры на серверы под управлением Windows и Linux.
CVE-2021-26084 exploit activity also detected from 2.57.33.43 (??) as of 2021-09-02T06:46:57Z. pic.twitter.com/kbl9zEXgNA
— Bad Packets (@bad_packets) September 2, 2021
Хотя в настоящее время атаки в основном связаны с добычей криптовалют, исследователи предупреждают, что у злоумышленников нет причин не использовать эту уязвимость в других целях, в том числе для более сложных атак. Об этом так же предупреждает Киберкомандование США, которое ожидает, что ситуация лишь продолжит ухудшаться:
«Массовая эксплуатация уязвимости CVE-2021-26084 в Atlassian Confluence продолжается и ожидается, что [темпы эксплуатации] будут лишь ускоряться. Пожалуйста, исправьте уязвимость немедленно, если вы еще этого не сделали, это не подождет до конца праздников», — предупреждали в Twitter представители Киберкомандования накануне Дня труда, который отмечаю в США в первый понедельник сентября.