A finales de agosto, Atlassiano lanzó una revisión para una ejecución remota de código de Confluence (ICE) vulnerabilidad.
El problema tiene identificación. CVE-2021-26084 y permite que un atacante no autenticado ejecute comandos de forma remota en un servidor vulnerable.
Se ha informado que el problema es peligroso para todas las versiones de Confluence Server y Data Center..
Después del lanzamiento del parche, el investigador que encontró la vulnerabilidad presentada una descripción detallada de ello, adjuntando un exploit PoC a su informe.
El exploit escrito en PHP resultó ser fácil de usar y realmente permite ejecutar comandos en el servidor de destino.. Los atacantes pueden usar esto para cargar otro malware, conchas web, o iniciar programas en un servidor vulnerable.
Poco después de la publicación del informe y del exploit, Los expertos en seguridad comenzaron a informar que los ciberdelincuentes y los investigadores de seguridad de la información estaban escaneando activamente la red en busca de servidores Confluence vulnerables.. Por ejemplo, Los expertos de Bad descubrieron que atacantes de diferentes países estaban explotando servidores para descargar y ejecutar scripts de shell de PowerShell y Linux.. De este modo, Los piratas informáticos intentan instalar mineros en servidores que ejecutan Windows y Linux.
Si bien actualmente los ataques se dirigen principalmente a la minería de criptomonedas, Los investigadores advierten que no hay razón para que los atacantes no aprovechen esta vulnerabilidad para otros fines., incluyendo ataques más sofisticados. Así lo advierte también el Cibercomando de EE.UU., que espera que la situación siga deteriorándose:
Permítanme recordarles también que la vulnerabilidad de Atlassian se incluyó en el lista de 15 Vulnerabilidades de Linux más atacadas.