Cybercom AS mengatakan eksploitasi massal kerentanan Atlassian Confluence ‘sedang berlangsung dan diperkirakan akan dipercepat’

Sultranow.com Para pemimpin TI telah dibawa ke Twitter untuk mengkonfirmasi bahwa eksploitasi sedang berlangsung secara global.

US Cybercom telah¬†mengirimkan pemberitahuan publik yang¬†memperingatkan tim TI bahwa CVE-2021-26084 — terkait dengan Atlassian Confluence — secara aktif dieksploitasi.

“Eksploitasi massal Atlassian Confluence CVE-2021-26084 sedang berlangsung dan diperkirakan akan berakselerasi. Harap segera tambal jika Anda belum melakukannya‚ÄĒ ini tidak bisa menunggu sampai setelah akhir pekan,” US Cybercom mengirimkan tweet pada hari Jumat menjelang Partai Buruh. Hari libur akhir pekan.¬†

Cybercom AS mengatakan eksploitasi massal kerentanan Atlassian Confluence 'sedang berlangsung dan diperkirakan akan dipercepat'

Sejumlah pemimpin TI turun ke media sosial untuk mengkonfirmasi bahwa itu memang dieksploitasi .

Atlassian¬†merilis¬†peringatan¬†tentang kerentanan pada 25 Agustus, menjelaskan bahwa “kerentanan keamanan tingkat keparahan kritis” ditemukan di Server Confluence dan versi Pusat Data sebelum versi 6.13.23, dari versi 6.14.0 sebelum 7.4.11, dari versi 7.5.0 sebelum 7.11.6, dan dari versi 7.12.0 sebelum 7.12.5.

“Ada kerentanan injeksi OGNL yang memungkinkan pengguna yang diautentikasi, dan dalam beberapa kasus pengguna yang tidak diautentikasi, untuk mengeksekusi kode arbitrer pada contoh Server Confluence atau Pusat Data. Semua versi Server dan Pusat Data Confluence sebelum versi tetap yang tercantum di atas terpengaruh. oleh kerentanan ini,” kata perusahaan itu dalam penasehatnya.¬†

Mereka mendesak tim TI untuk meningkatkan ke rilis Dukungan Jangka Panjang terbaru dan mengatakan jika itu tidak memungkinkan, ada solusi sementara. 

“Anda dapat mengurangi masalah tersebut¬†dengan menjalankan¬†yang¬†script di bawah ini untuk Sistem Operasi yang Confluence-host,” kata pemberitahuan tersebut.¬†

Kerentanan hanya memengaruhi server lokal, bukan server yang dihosting di cloud.

Beberapa peneliti telah mengilustrasikan bagaimana kerentanan dapat dieksploitasi dan merilis bukti konsep yang menunjukkan cara kerjanya. 

Bad Packets mengatakan¬†¬†mereka “mendeteksi pemindaian massal dan aktivitas eksploitasi dari host di Brasil, Cina, Hong Kong, Nepal, Rumania, Rusia, dan AS yang menargetkan server Atlassian Confluence yang rentan terhadap eksekusi kode jarak jauh.”

Censys¬†menjelaskan dalam sebuah posting blog¬†bahwa selama beberapa hari terakhir, tim mereka telah “melihat perubahan kecil dalam jumlah server rentan yang masih berjalan di internet publik.”¬†

“Pada 31 Agustus, Censys mengidentifikasi 13.596 kasus Confluence yang rentan, sedangkan pada 02 September, jumlah itu turun menjadi 11.689 kasus rentan,” kata Censys.¬†

Perusahaan menjelaskan bahwa Confluence adalah “layanan Wiki yang digunakan secara luas yang digunakan terutama dalam lingkungan perusahaan kolaboratif” dan bahwa dalam beberapa tahun terakhir “telah menjadi standar de facto untuk dokumentasi perusahaan selama dekade terakhir.”¬†

“Sementara sebagian besar pengguna menjalankan layanan terkelola, banyak perusahaan memilih untuk menyebarkan perangkat lunak di tempat. Pada 25 Agustus, kerentanan dalam perangkat lunak Confluence Atlassian dipublikasikan. Seorang peneliti keamanan bernama SnowyOwl (Benny Jacob) menemukan bahwa pengguna yang tidak diautentikasi dapat menjalankan kode arbitrer dengan menargetkan bidang HTML yang ditafsirkan dan dirender oleh Object-Graph Navigation Language (OGNL),” kata blog tersebut.¬†

“Ya, itu adalah kelas kerentanan yang sama yang digunakan dalam¬†pelanggaran Equifax pada tahun 2017.¬†Hanya beberapa hari sebelum kerentanan ini dipublikasikan, data historis kami menunjukkan bahwa internet memiliki lebih dari 14.637 server Confluence yang terbuka dan rentan. Bandingkan dengan hari ini. , 1 September, di mana Censys mengidentifikasi 14.701 layanan yang mengidentifikasi diri sebagai server Confluence, dan di antaranya, 13.596 port dan 12.876 host IPv4 individu menjalankan versi perangkat lunak yang dapat dieksploitasi.”

Cybercom AS mengatakan eksploitasi massal kerentanan Atlassian Confluence 'sedang berlangsung dan diperkirakan akan dipercepat'Cybercom AS mengatakan eksploitasi massal kerentanan Atlassian Confluence 'sedang berlangsung dan diperkirakan akan dipercepat'

“Tidak ada cara untuk menganggap enteng ini: ini buruk. Awalnya, Atlassian menyatakan ini hanya dapat dieksploitasi jika pengguna memiliki akun yang valid di sistem; ini ditemukan salah dan penasehat diperbarui hari ini untuk mencerminkan informasi baru. . Hanya masalah waktu sebelum kita mulai melihat eksploitasi aktif di alam liar karena sudah ada eksploitasi kerja yang ditemukan berserakan, “tambah Censys.¬†

Yaniv Bar-Dayan, CEO Vulcan Cyber, mengatakan kepada zdNet bahwa tim keamanan perlu melawan api dengan api saat mereka bekerja untuk memprioritaskan dan memperbaiki kelemahan Confluence ini. 

Penyerang tidak boleh menjadi orang pertama yang mengotomatiskan pemindaian untuk eksploitasi ini dan semoga tim keamanan TI lebih maju dari lawan mereka dalam mengidentifikasi secara proaktif keberadaan kerentanan ini dan mengambil langkah-langkah untuk menguranginya, kata Bar-Dayan. 

“Mengingat sifat Atlassian Confluence, ada kemungkinan komponen platform yang sangat nyata terpapar Internet,” tambah Bar-Dayan.¬†

Ini berarti bahwa penyerang tidak memerlukan akses jaringan internal untuk mengeksploitasi kerentanan RCE. Patch tersedia dan administrator harus menyebarkannya dengan ekstra tergesa-gesa sambil juga mempertimbangkan tindakan mitigasi lainnya seperti memastikan tidak ada akses publik yang tersedia ke Server dan layanan Confluence. .”

BleepingComputer mengkonfirmasi pada hari Kamis bahwa beberapa aktor ancaman menginstal cryptominers di server Windows dan Linux Confluence menggunakan kerentanan.  

admin

Hai, nama saya Dwiyanto Nugraha. Saya adalah satu dari sekian banyak pecinta "Mie Siram" di Indonesia.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.