【安全资讯】CERBER勒索软件利用Confluence RCE等多个高危漏洞攻击云主机

匿名用户 2021-12-08 16:56:52 275人浏览

引言

CERBER勒索软件传播者正在利用Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLab exiftool 远程代码执行漏洞(CVE-2021-22205)攻击云上主机。

 

 

简况

Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084)为8月26日披露的高危漏洞,该漏洞的CVSS 评分为 9.8,是一个对象图导航语言 (ONGL) 注入漏洞,允许未经身份验证的攻击者在 Confluence Server 或Data Center实例上执行任意代码,攻击者利用漏洞可完全控制服务器。

 

 

GitLab exiftool远程命令执行漏洞(CVE-2021-22205)同样也是网络黑产疯狂利用的高危漏洞。由于Gitlab某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码,攻击者利用漏洞同样可以完全控制服务器。

 

 

Atlassian Confluence 应用广泛,中国占比最高(21.46%)、其次是美国(21.36%)、德国(18.40%),如下图:

 

受影响的版本包括:

  • Atlassian Confluence Server/Data Center < 6.13.23
  • 6.14.0 <= Atlassian Confluence Server/Data Center < 7.4.11
  • 7.5.0 <= Atlassian Confluence Server/Data Center < 7.11.6
  • 7.12.0 <= Atlassian Confluence Server/Data Center < 7.12.5

 

 

CERBER勒索病毒使用CryptoPP加密库对文件进行加密,加密行为极具针对性。本次捕获的利用Confluence远程代码执行漏洞(CVE-2021-26084)攻击的样本,加密路径针对性包含了Confluence 组件下相关文件。另一样本为样本针对性加密Gitlab目录文件。该样本通过GitLab exiftool 远程代码执行漏洞攻击(CVE-2021-22205)传播。攻击者通过不同漏洞投递的勒索样本,加密目录也会伴随着入侵方式做优化。

 

 

被加密后的文件将被添加.locked扩展后缀,同时留下名为__$$RECOVERY_README$$__.html的勒索信,要求登陆指定暗网地址购买解密器。

 

 

失陷指标(IOC)4
勒索软件 CERBER CVE-2021-26084 CVE-2021-22205 漏洞利用 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。