Tin tặc đang khai thác lỗ hổng zero-day nghiêm trọng trong Atlassian Confluence

Atlassian đang cảnh báo về một lỗ hổng thực thi mã từ xa nghiêm trọng, đã và đang bị khai thác trong thực tế, ảnh hưởng đến các máy chủ và Data Center Confluence.

Lỗ hổng có định danh CVE-2022-26134, được công ty bảo mật Volexity phát hiện và báo cáo vào cuối tuần trước.

Atlassian cho biết "đã nhận được báo cáo về việc khai thác lỗ hổng nghiêm trọng cho phép thực thi mã từ xa mà không cần xác thực trong máy chủ và Trung tâm Dữ liệu Hợp lưu".

Hiện chưa có bản vá lỗ hổng cho các sản phẩm. Atlassian vẫn đang tập trung làm việc để đưa ra bản vá". Chi tiết cụ thể về lỗ hổng sẽ được giữ bí mật cho đến khi bản vá được phát hành.

Tất cả các phiên bản của Server và Data Center Confluence được cho là đều bị ảnh hưởng.

Atlassian khuyến nghị người dùng nên hạn chế các máy chủ và Data Center khỏi internet hoặc tắt hoàn toàn cho đến khi có bản vá.

Chuỗi tấn công liên quan đến việc lạm dụng khai thác Atlassian zero-day - lỗ hổng command injection - để thực thi mã từ xa và triển khai webshell Behinder trên máy chủ bị xâm phạm.

Các nhà nghiên cứu cho biết: “Behinder tích hợp các memory webshell và hỗ trợ tương tác với Meterpreter và Cobalt Strike. Nó sẽ bị xóa bỏ khi reboot hệ thống hoặc restart dịch vụ”.

Webshell này được cho là được dùng để triển khai hai webshell khác, bao gồm China Chopper và một shell cho phép sao chép nội dung các tệp và gửi đến máy chủ của kẻ tấn công.

Phát hiện này diễn ra chưa đầy một năm sau khi lỗ hổng thực thi mã từ xa nghiêm trọng khác trong Atlassian Confluence (CVE-2021-26084, điểm CVSS: 9,8) bị lạm dụng khai thác nhiều để cài đặt các công cụ khai thác tiền điện tử trên các máy chủ bị xâm phạm.

Người dùng Confluence nên thực hiện theo khuyến nghị của hãng và thường xuyên kiểm tra, cập nhật bản vá ngay khi có sẵn.

Nguồn: thehackernews.com.