【安全资讯】CERBER勒索软件利用Confluence RCE等多个高危漏洞攻击云主机
引言
CERBER勒索软件传播者正在利用Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLab exiftool 远程代码执行漏洞(CVE-2021-22205)攻击云上主机。
简况
Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084)为8月26日披露的高危漏洞,该漏洞的CVSS 评分为 9.8,是一个对象图导航语言 (ONGL) 注入漏洞,允许未经身份验证的攻击者在 Confluence Server 或Data Center实例上执行任意代码,攻击者利用漏洞可完全控制服务器。
GitLab exiftool远程命令执行漏洞(CVE-2021-22205)同样也是网络黑产疯狂利用的高危漏洞。由于Gitlab某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码,攻击者利用漏洞同样可以完全控制服务器。
Atlassian Confluence 应用广泛,中国占比最高(21.46%)、其次是美国(21.36%)、德国(18.40%),如下图:
受影响的版本包括:
- Atlassian Confluence Server/Data Center < 6.13.23
- 6.14.0 <= Atlassian Confluence Server/Data Center < 7.4.11
- 7.5.0 <= Atlassian Confluence Server/Data Center < 7.11.6
- 7.12.0 <= Atlassian Confluence Server/Data Center < 7.12.5
CERBER勒索病毒使用CryptoPP加密库对文件进行加密,加密行为极具针对性。本次捕获的利用Confluence远程代码执行漏洞(CVE-2021-26084)攻击的样本,加密路径针对性包含了Confluence 组件下相关文件。另一样本为样本针对性加密Gitlab目录文件。该样本通过GitLab exiftool 远程代码执行漏洞攻击(CVE-2021-22205)传播。攻击者通过不同漏洞投递的勒索样本,加密目录也会伴随着入侵方式做优化。
被加密后的文件将被添加.locked扩展后缀,同时留下名为__$$RECOVERY_README$$__.html的勒索信,要求登陆指定暗网地址购买解密器。