No final de agosto, Atlassiano lançou um hotfix para uma execução remota de código do Confluence (RCE) vulnerabilidade.
O problema tem ID CVE-2021-26084 e permite que um invasor não autenticado execute comandos remotamente em um servidor vulnerável.
O problema foi relatado como perigoso para todas as versões do Confluence Server e Data Center.
Depois que o patch foi lançado, o pesquisador que constatou a vulnerabilidade apresentada uma descrição detalhada disso, anexando uma exploração PoC ao seu relatório.
O exploit escrito em PHP revelou-se fácil de usar e realmente permite executar comandos no servidor de destino. Os invasores podem usar isso para fazer upload de outros malwares, conchas de teia, ou lançar programas em um servidor vulnerável.
Pouco depois da publicação do relatório e da exploração, especialistas em segurança começaram a relatar que cibercriminosos e pesquisadores de segurança da informação estavam escaneando ativamente a rede em busca de servidores Confluence vulneráveis. Por exemplo, especialistas da Bad descobriram que invasores de diferentes países estavam explorando servidores para baixar e executar scripts de shell do PowerShell e do Linux. Por isso, hackers tentam instalar mineradores em servidores rodando Windows e Linux.
Embora os ataques atualmente tenham como alvo principal a mineração de criptomoedas, os pesquisadores alertam que não há razão para que os invasores não explorem esta vulnerabilidade para outros fins, incluindo ataques mais sofisticados. Isso também é avisado pelo Comando Cibernético dos EUA, que espera que a situação continue a deteriorar-se:
Deixe-me lembrar também que a vulnerabilidade Atlassian foi incluída no lista de 15 vulnerabilidades Linux mais atacadas.