2019年4月4日,阿里雲安全應急響應中心監測到Confluence 官方釋出安全更新指出,Widget Connector 存在服務端模板注入漏洞,攻擊者能利用此漏洞實現目錄穿越遍歷甚至遠端命令執行。4月10日遠端命令執行PoC被公開,阿里雲監測到此漏洞被大規模利用,4月12日凌晨攻擊流量達到第二次高峰。
4月6日出現第一次大規模攻擊,全天攻擊次數超過5000次,阿里雲WAF預設規則均成功防禦。攻擊特徵為任意檔案讀取,攻擊者通過構造特定請求讀取本地敏感檔案資訊。
直到4月7日,第一波攻擊結束,阿里雲WAF客戶並未受影響。阿里雲安全應急響應中心持續監測該漏洞影響情況,在接下來的3天,並未有新的攻擊發生。
直到4月10日,遠端命令執行PoC被公開,針對Conflunce的又一輪掃描開始,並且規模增大。攻擊者可以載入遠端惡意構造的模版,利用velocity模版引擎渲染執行惡意程式碼,從而達到遠端命令執行的效果。
4月11日,第二波攻擊開始出現,針對性攻擊和掃描流量也呈現持續上升趨勢,並確認新的利用PoC的攻擊流量出現。阿里雲WAF成功升級漏洞防護攔截規則,實時執行有效攔截。截止發稿前,阿里雲WAF防護攔截的攻擊涉及目標高達數萬域名,攻擊次數超過15000次,已全部有效攔截。
Conflunce作為一個專業的企業知識管理和協同軟體,一個專業的wiki,被廣泛應用在各企業進行團隊成員之間的知識共享和協同辦公,涉及使用者廣泛。雖然該漏洞剛開始爆發時影響範圍可控,但是幾天後再次爆出新的漏洞利用點,一旦被黑客成功利用,將會獲取系統命令執行許可權,進而導致伺服器被黑客入侵。
本文為雲棲社群原創內容,未經允許不得轉載。