数千次对关键的 Atlassian Confluence 远程代码执行(RCE

Atlassian Confluence 漏洞:紧急应对是关键

关键要点

  • Shadowserver 监测到大量尝试利用 Atlassian Confluence 的关键漏洞。
  • 漏洞编号 CVE-2023-22527,攻击者能够进行未经身份验证的代码执行。
  • 受影响版本为未更新至 8.5.4 或更高版本的 Confluence Data Center 和 Server。
  • 强烈建议客户立即更新到最新版本 8.5.5。
  • 漏洞的存在大幅度增加了组织面临的安全风险。

Shadowserver 于周一报告称,其系统记录了数千次尝试利用 Atlassian Confluence Data Center 和 Server的关键漏洞。根据他们在
的发布,Shadowserver 观察到总计 39,048 个事件,涉及 18,154 个端口和 602 个独特的 IP 地址。

“我们自 2024 年 1 月 19 日以来一直在看到针对 Atlassian Confluence CVE-2023-22527 的预认证模板注入
RCE 尝试。目前已有超过 600 个 IP 发起攻击(测试回调尝试和 ‘whoami’ 执行)。”

漏洞影响了。

根据 ,使用 Confluence Data Center 和
Server 版本 8 的 Atlassian 客户,如果未更新到至少 8.5.4(于 12 月 5 日发布),则会受到影响。Atlassian强烈建议所有客户立即更新至最新的 Confluence 版本 8.5.5。

这一关键漏洞 — —
由于攻击者能够在低复杂度的攻击中实现远程代码执行(RCE),且无需身份验证,被 Atlassian 评定为最高 CVSS 分数 10。

CVE-2023-22527 作为一个模板注入漏洞,类似于
,也可能导致 ConfluenceData Center 和 Server 的 RCE。然而,前者需要身份验证,而这一新的利用漏洞则允许未经身份验证的用户发起攻击。这个最新的漏洞由安全研究员
Petrus Viet 于 12 月 13 日作为 Atlassian 的漏洞赏金计划一部分发现并报告。

Critical Start 的网络威胁情报研究分析师 Sarah Jones 表示,与某些漏洞不同,CVE-2023-22527的严重性和潜在利用的广泛性使其显得尤为突出。Jones 特别提到,攻击者无需身份验证就能够利用此漏洞,这大大增加了潜在攻击面。

Jones 还强调,修补延迟是一个显著的威胁,因为这为攻击者利用漏洞创造了机会。她指出,组织应加快修补过程,及时保护 Confluence实例,并降低相关风险。

“本质上,Confluence 实例变得更加容易受到攻击,使得组织在数据和系统安全方面的风险增大。”Jones
解释道,“识别的漏洞引入了多种风险,主要源自于 Confluence 中的模板注入缺陷。恶意行为者可以利用这一缺陷将有害代码注入 Confluence
模板,导致在易受攻击的系统上实现未经身份验证的 RCE。这基本上赋予了攻击者对 Confluence 实例的全面控制权,对关键数据构成了严重威胁。”

Bambenek Consulting 的总裁 John Bambenek 指出,Confluence Data Center 和 ConfluenceServer 的终端由不信任云的组织使用,以存储敏感内容,比如代码、机密和架构图。

“如果我想了解组织架构的

Leave a Reply

Your email address will not be published. Required fields are marked *