多家政府和网络安全机构周一报告,威胁行为者利用了 Atlassian Confluence Data Center 和 Server 中的一个关键零日漏洞CVSS 评分 98。根据由 FBI、网络安全和基础设施安全局CISA以及多州信息共享与分析中心MSISAC联合发布的网络安全咨询CSA,网络管理员被建议根据新的 CSA 应用更新和建议的事件响应措施。
这次漏洞被标记为 CVE202322515,据报道自 9 月 14 日以来已被 被微软追踪的中国支持的威胁组织 Storm0062 利用,这一时间大约在 Atlassian 发布补丁的两周前。Storm0062 被认为与中国国家安全部有关。
虽然此 CVE 不适用于 Atlassian 的基于云的 Confluence 产品,但漏洞允许攻击者远程创建 Confluence 管理账户,从而赋予他们对 Confluence 实例的完全控制权,Checkmarx FedRAMP 项目管理 John Allison 解释说。
Allison 表示,Confluence 在软件开发者之间广泛应用,用于跨团队共享信息,并且通常与多种数据源集成。这个漏洞可能使敌手访问所有这些信息,甚至禁用或操控任何 Confluence 数据和集成。
“如果开发人员使用 Confluence 记录敏感设计信息,例如已知漏洞或自己产品中的安全弱点,那么这些信息可能为敌手提供用于进一步攻击的关键情报,”Allison 解释道。“此漏洞的影响与存储在 Confluence 中的信息直接相关,很有可能会影响到 Atlassian 的客户。即使未被利用,所有客户也需要检查他们的实例以确定是否被妥协。”
Confluence 可能保存大量关于某一产品、软件、文档,甚至某种安全解决方案的知识产权,Horizon3ai 的安全专家 Stephen Gates 表示。
“存储在 Confluence 中的信息可能包括产品如何运作、哪里存在漏洞、执行的代码、公司当前正在开发什么、接下来会有什么等等,”Gates 说。“最糟糕的情况是攻击者可以完全访问网络安全供应商的 Confluence 实例。这可能让攻击者获取大量有关其解决方案、公司及员工的知识,而这些大多数人更愿意保持私密。”
Keeper Security 的产品负责人 Zane Bond 进一步指出,Atlassian Confluence 的漏洞非常严重,并且在实际利用中活跃,管理员应立即进行补丁更新。
黑洞加速器安卓“漏洞的易利用性使得 Atlassian 客户必须尽快将其 Confluence 实例升级至修复版本,或者在更新之前将服务下线,尤其是在该漏洞已成为公众知识之后,”Bond 说。“此外,员工在处理 IOC指标时需要格外警惕,包括新创建或可疑的管理员用户账户。”
