8 月 26 日,Atlassian 官网发布公告,披露了一个 Atlassian Confluence 近程代码执行破绽(CVE-2021-26084),攻击者利用破绽可齐全管制服务器。8 月 31 日晚,腾讯云原生安全漏洞检测响应平台通过主机平安(云镜)检测到首个利用该破绽的在朝攻打案例。
腾讯平安旗下全系列企业级产品均已反对检测进攻利用 Atlassian Confluence 近程代码执行破绽的攻打流动。
腾讯云上平安产品全栈提供针对 Confluence 近程代码执行破绽的检测防护能力,政企用户运维人员扫描辨认以下二维码,增加腾讯平安小秘书,即可申请收费试用。
腾讯平安专家指出,只管咱们迅速作出响应,及时向公众通报本次安全漏洞的危险,并胜利在其余钻研人员将破绽 POC(概念验证代码)上传到 Github 之前 10 小时检测到攻打测试流量,但网络黑产利用该破绽发动攻打的速度之快,令团队成员印象粗浅。
腾讯平安专家再次揭示所有采纳 Atlassian Confluence 作常识治理和协同利用的政企客户,尽快降级到平安版本以修复破绽。腾讯平安网络空间测绘数据显示,Atlassian Confluence 利用宽泛,中国占比为寰球最高(21.46%)、其次是美国(21.36%)、德国(18.40%)。
截止 9 月 2 日,腾讯平安团队已检测到至多 7 个网络黑产团伙在利用该破绽发动的攻打口头,已部署腾讯 T -Sec 主机平安专业版、T-Sec Web 利用防火墙的客户胜利抵挡黑客攻击,爱护数千台主机免于失陷。
腾讯平安检测到黑客攻击流动示例:
- kwroksminer 挖矿木马家族利用 CVE-2021-26084 破绽的攻打
2.h2miner 挖矿木马家族利用 CVE-2021-26084 破绽的攻打
- 8220Miner 挖矿木马家族利用 CVE-2021-26084 破绽的攻打
4.mirai 僵尸网络利用 CVE-2021-26084 破绽的攻打
5.BillGates 僵尸网络利用 CVE-2021-26084 破绽的攻打
工夫线:
1.2021 年 8 月 25 日,Atlassian 官网公布平安通告,披露了一个 Atlassian Confluence 近程代码执行破绽(CVE-2021-26084),攻击者利用破绽能够齐全管制服务器;
2.2021 年 8 月 26 日,腾讯平安公布危险通告;
3.2021 年 8 月 31 日,腾讯平安捕捉 Atlassian Confluence 近程代码执行破绽在朝利用;
- 2021 年 9 月 1 日,破绽 poc 公开在 Github;
5.2021 年 9 月 1 日晚,腾讯平安检测到多个不同的挖矿木马团伙、僵尸网络团伙利用 Atlassian Confluence 近程代码执行破绽洞攻打云主机;
6.2021 年 9 月 2 日,腾讯平安检测到利用该破绽攻打的黑产团伙减少到 7 个,挖矿家族 5 个:kwroksminer,iduckminer,h2miner,8220Miner,z0miner;僵尸网络家族 2 个:mirai,BillGates,腾讯平安全栈平安产品胜利爱护数千台云主机免于失陷。
IOCs
URL
hxxps://raw.githubusercontent.com/alreadyhave/thinkabout/main/kwork.sh
hxxps://zgpay.cc/css/kwork.sh
hxxp://iduck.it/index.js
hxxp://iduck.it:58441/ld.sh
hxxp://178.238.226.127:58321/ld.sh
hxxp://195.19.192.28/cf.sh
hxxp://209.141.40.190/xms
hxxp://209.141.40.190/wxm.exe
hxxp://27.1.1.34:8080/docs/s/conf.txt
hxxp://185.142.236.33/mirai.x86
hxxp://213.202.230.103/syn
IP
109.237.96.124
122.118.114.152
125.212.150.123
185.244.148.215
195.19.192.26
196.240.57.172
2.57.33.43
213.173.35.232
213.202.230.103
223.71.46.114
34.125.87.11
45.155.205.249
62.76.41.46
82.102.25.52
89.223.91.225
参考资料:
https://mp.weixin.qq.com/s/11…
https://confluence.atlassian….