Confluence RCE 已引发一连串勒索,速修

admin
admin
admin
103354
文章
87
评论
2023年11月14日11:16:21评论55 views字数 2190阅读7分18秒阅读模式

Confluence RCE 已引发一连串勒索,速修

1

           漏洞概况        

微步漏洞团队于10月31日监控到Confluence Data Center and Server远程命令执行漏洞(CVE-2023-22518)情报。攻击者可利用该漏洞重置Confluence数据库,清空数据,执行任意命令,获取主机控制权限。利用成本极低,危害极高。

微步已于11月2日通知客户做好防护。

微步分析师在运营分析HFish蜜罐数据时,发现该漏洞已被黑客团伙大规模利用,武器化成熟度极高。

目前公网仍有大量资产尚未修复,建议还没处置该漏洞的客户,立即处置!


2

           漏洞处置优先级(VPT)      

综合处置优先级:极高


漏洞编号
微步编号
XVE-2023-2477
漏洞评估
危害评级
高危
漏洞类型
远程代码执行
公开程度
PoC公开
利用条件
无权限要求
交互要求
0-click
威胁类型
远程
利用情报
微步已捕获攻击行为
已被黑客团伙大规模利用
影响产品
产品名称
Confluence-Data Center & Server
受影响版本
7.x <= version < 7.19.16
8.3.x <= version < 8.3.4
8.4.x <= version < 8.4.4
8.5.x <= version < 8.5.3
8.6.x <= version < 8.6.1
影响范围
万级
有无修复补丁


Confluence RCE 已引发一连串勒索,速修


3

          在野利用事件      

Cerber 勒索软件通过利用 CVE-2023-22518 使用混淆的Powershell或者Bash脚本加载远程二进制文件以勒索受害组织。相关事件链接:
  • Cerber Ransomware Exploits Atlassian Confluence Vulnerability CVE-2023-22518:
    https://www.trendmicro.com/en_us/research/23/k/cerber-ransomware-exploits-cve-2023-22518.html
  • Rapid7-Observed Exploitation of Atlassian Confluence CVE-2023-22518:
    https://www.rapid7.com/blog/post/2023/11/06/etr-rapid7-observed-exploitation-of-atlassian-confluence-cve-2023-22518/


4

           相关IOC     

IP
104.234.140[.]x网段多个IP
IP
198.23.251[.]118
IP
20.185.37[.]78
IP
35.195.116[.]85
IP
45.32.120[.]181
IP
81.19.209[.]53
IP
47.109.86[.]170
IP 193.176.179[.]41
IP 193.43.72[.]11
IP 45.145.6[.]112
IP

212.83.151[.]31
IP 20.212.231[.]68
IP 20.212.231[.]68
IP 191.37.0[.]253
MD5
 9e0a8f1097176a5215648b9376db6611
MD5 81b760d4057c7c704f18c3f6b3e6b2c4


5

           处置建议

5.1 官方修复方案
官方已发布新版本修复此漏洞,可通过链接下载新版本:
https://www.atlassian.com/software/confluence/download-archives
5.2 临时修复方案
1. 限制Confluence实例不要对公网开放
2. 及时备份Confluence数据

5.3 注意勒索攻击

建议Confluence实例开放在公网的客户:
1.  对所有办公/生产终端设备,内部的服务器进行排查,检查是否存在勒索病毒
2.  重要数据做好备份
3.  加强办公终端、生产服务器网络安全防护,加强内外网的威胁监控尤其是失陷监控。可通过微步TDP 进行实时监控,及时发现内网失陷主机
4.  对于来源不明的软件或者文档,可以上传微步云沙箱 s.threatbook.cn 进行多引擎查杀,避免漏报。该平台可进行免费多引擎查杀和样本分析


6

           微步在线产品侧支撑情况

微步在线威胁感知平台TDP已支持检测,规则ID为S3100128197。

Confluence RCE 已引发一连串勒索,速修


7

           时间线   

2023.10.31 厂商发布漏洞通告和补丁
2023.11.02 微步发布漏洞报告

2023.11.13 微步更新漏洞威胁情况


---End---



微步漏洞情报订阅服务

微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营
  • 提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;
  • 可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;
  • 提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;
  • 将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新。



X 漏洞奖励计划

“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。

原文始发于微信公众号(微步在线研究响应中心):Confluence RCE 已引发一连串勒索,速修

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月14日11:16:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Confluence RCE 已引发一连串勒索,速修https://cn-sec.com/archives/2204064.html

发表评论

匿名网友 填写信息