通報:Confluence遠端程式碼執行漏洞(CVE-2021-26084)被黑產大規模利用
8月26日,Atlassian官方釋出公告,披露了一個Atlassian Confluence 遠端程式碼執行漏洞(CVE-2021-26084),攻擊者利用漏洞可完全控制伺服器。8月31日晚,騰訊雲原生安全漏洞檢測響應平臺透過主機安全(雲鏡)檢測到首個利用該漏洞的在野攻擊案例。
騰訊安全旗下全系列企業級產品均已支援檢測防禦利用Atlassian Confluence遠端程式碼執行漏洞的攻擊活動。
騰訊雲上安全產品全棧提供針對Confluence遠端程式碼執行漏洞的檢測防護能力,政企使用者運維人員掃描識別以下二維碼,新增騰訊安全小秘書,即可申請免費試用。
騰訊安全專家指出,儘管我們迅速作出響應,及時向公眾通報本次安全漏洞的風險,併成功在其他研究人員將漏洞POC(概念驗證程式碼)上傳到Github之前10小時檢測到攻擊測試流量,但網路黑產利用該漏洞發起攻擊的速度之快,令團隊成員印象深刻。
騰訊安全專家再次提醒所有采用Atlassian Confluence作知識管理和協同應用的政企客戶,儘快升級到安全版本以修復漏洞。騰訊安全網路空間測繪資料顯示,Atlassian Confluence應用廣泛,中國佔比為全球最高(21.46%)、其次是美國(21.36%)、德國(18.40%)。
截止9月2日,騰訊安全團隊已檢測到至少7個網路黑產團伙在利用該漏洞發起的攻擊行動,已部署騰訊T-Sec主機安全專業版、T-Sec Web應用防火牆的客戶成功抵禦駭客攻擊,保護數千臺主機免於失陷。
騰訊安全檢測到駭客攻擊活動示例:
1. kwroksminer挖礦木馬家族利用CVE-2021-26084漏洞的攻擊
2.h2miner挖礦木馬家族利用CVE-2021-26084漏洞的攻擊
3. 8220Miner挖礦木馬家族利用CVE-2021-26084漏洞的攻擊
4.mirai殭屍網路利用CVE-2021-26084漏洞的攻擊
5.BillGates殭屍網路利用CVE-2021-26084漏洞的攻擊
時間線:
1.2021年8月25日,Atlassian官方釋出安全通告,披露了一個Atlassian Confluence 遠端程式碼執行漏洞(CVE-2021-26084),攻擊者利用漏洞可以完全控制伺服器;
2.2021年8月26日,騰訊安全釋出風險通告;
3.2021年8月31日,騰訊安全捕獲Atlassian Confluence 遠端程式碼執行漏洞在野利用;
4. 2021年9月1日,漏洞poc公開在Github;
5.2021年9月1日晚,騰訊安全檢測到多個不同的挖礦木馬團伙、殭屍網路團伙利用Atlassian Confluence 遠端程式碼執行漏洞洞攻擊雲主機;
6.2021年9月2日,騰訊安全檢測到利用該漏洞攻擊的黑產團伙增加到7個,挖礦家族5個:kwroksminer,iduckminer,h2miner,8220Miner,z0miner;殭屍網路家族2個:mirai,BillGates,騰訊安全全棧安全產品成功保護數千臺雲主機免於失陷。
IOCs
URL
hxxps://raw.githubusercontent.com/alreadyhave/thinkabout/main/kwork.sh
hxxps://zgpay.cc/css/kwork.sh
hxxp://iduck.it/index.js
hxxp://iduck.it:58441/ld.sh
hxxp://178.238.226.127:58321/ld.sh
hxxp://195.19.192.28/cf.sh
hxxp://209.141.40.190/xms
hxxp://209.141.40.190/wxm.exe
hxxp://27.1.1.34:8080/docs/s/conf.txt
hxxp://185.142.236.33/mirai.x86
hxxp://213.202.230.103/syn
IP
109.237.96.124
122.118.114.152
125.212.150.123
185.244.148.215
195.19.192.26
196.240.57.172
2.57.33.43
213.173.35.232
213.202.230.103
223.71.46.114
34.125.87.11
45.155.205.249
62.76.41.46
82.102.25.52
89.223.91.225
參考資料:
https://mp.weixin.qq.com/s/11c203ejxfb9ZBXtyjEhvg
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
相關文章
- RCE(遠端程式碼執行漏洞)原理及漏洞利用
- ThinkPHP遠端程式碼執行漏洞PHP
- phpunit 遠端程式碼執行漏洞PHP
- Joomla遠端程式碼執行漏洞分析OOM
- OpenWRT 曝遠端程式碼執行漏洞
- 最新漏洞:Spring Framework遠端程式碼執行漏洞SpringFramework
- 什麼是遠端程式碼執行漏洞?
- ThinkPHP 5.0.23 遠端程式碼執行漏洞PHP
- Discuz! X系列遠端程式碼執行漏洞分析
- .NET Remoting 遠端程式碼執行漏洞探究REM
- crash_for_windows_pkg遠端程式碼執行漏洞Windows
- WindowsJScript元件曝遠端程式碼執行漏洞WindowsJS元件
- PHP CGI Windows下遠端程式碼執行漏洞PHPWindows
- log4j遠端程式碼執行漏洞
- Apache Struts 再曝高危遠端程式碼執行漏洞Apache
- Struts2遠端程式碼執行漏洞預警
- Log4j遠端程式碼執行漏洞漫談
- 嚴重PHP漏洞使威聯通裝置面臨遠端程式碼執行風險PHP
- 利用微軟DNS漏洞程式碼現身 恐爆發大規模攻擊微軟DNS
- 網站漏洞檢測 squid反向代理存在遠端程式碼執行漏洞網站UI
- [漏洞預警]Laravel <= 8.4.2 Debug模式 _ignition 遠端程式碼執行漏洞Laravel模式
- 轉載]遠端執行程式碼的利用行程
- ElasticSearch 遠端程式碼執行漏洞分析(CVE-2015-1427)&高階利用方法Elasticsearch
- Steam客戶端發現遠端程式碼執行漏洞:已放補丁客戶端
- Apache SSI 遠端命令執行漏洞Apache
- 【安全公告】PHP多個遠端程式碼執行漏洞風險預警PHP
- Apache log4j2 遠端程式碼執行漏洞復現?Apache
- Apache Solr應用伺服器存在遠端程式碼執行漏洞?ApacheSolr伺服器
- Fastjson反序列化遠端程式碼執行漏洞產生原因及修復建議ASTJSON
- 通報:騰訊主機安全捕獲YAPI遠端程式碼執行0day漏洞在野利用,該攻擊正在擴散,可使用防火牆阻截API防火牆
- phpcms網站漏洞修復遠端程式碼寫入快取漏洞利用PHP網站快取
- 高危漏洞!Apache Log4j 遠端程式碼執行漏洞(附修復建議)Apache
- OGNL設計及使用不當造成的遠端程式碼執行漏洞
- 嚴重 PHP 漏洞導致伺服器遭受遠端程式碼執行PHP伺服器
- Spring WebFlow 遠端程式碼執行漏洞(CVE-2017-4971)SpringWeb
- Apache OFBiz遠端程式碼執行漏洞(CVE-2024-38856)Apache
- 國家漏洞庫CNNVD:關於微信Windows客戶端遠端程式碼執行漏洞的預警CNNWindows客戶端
- WordPress 3.5.1遠端程式碼執行EXP