通报：CERBER勒索软件利用Confluence RCE等多个高危漏洞攻击云主机

一、概述

12月6日，腾讯安全Cyber-Holmes引擎系统检测并发出告警：CERBER勒索软件传播者利用Atlassian Confluence远程代码执行漏洞（CVE-2021-26084）和GitLab exiftool 远程代码执行漏洞(CVE-2021-22205)攻击云上主机。被勒索软件加密破坏的文件无密钥暂不能解密，腾讯安全专家建议所有受影响的用户尽快修复漏洞，避免造成数据完全损失，业务彻底崩溃。

Atlassian Confluence 远程代码执行漏洞（CVE-2021-26084）为8月26日披露的高危漏洞，该漏洞的CVSS 评分为 9.8，是一个对象图导航语言 (ONGL) 注入漏洞，允许未经身份验证的攻击者在 Confluence Server 或Data Center实例上执行任意代码，攻击者利用漏洞可完全控制服务器。

GitLab exiftool远程命令执行漏洞（CVE-2021-22205）同样也是网络黑产疯狂利用的高危漏洞。由于Gitlab某些端点路径无需授权，攻击者可在无需认证的情况下利用图片上传功能执行任意代码，攻击者利用漏洞同样可以完全控制服务器。

腾讯安全专家指出，网络黑灰产业对高危漏洞的利用之快令人印象深刻，在Atlassian Confluence远程代码执行漏洞（CVE-2021-26084）和GitLab exiftool 远程代码执行漏洞(CVE-2021-22205)漏洞详情及POC代码公开之后，已检测到多个网络黑灰产业对云主机发起多轮攻击。这些攻击较多为挖矿木马或其他僵尸网络，一般不会造成云主机崩溃瘫痪，今天捕获的针对linux云主机的勒索软件攻击，可造成数据完全损失，业务彻底崩溃。 

二、漏洞影响范围

腾讯安全网络空间测绘数据显示，Atlassian Confluence 应用广泛，中国占比最高（21.46%）、其次是美国（21.36%）、德国（18.40%）。

受影响的版本：

Atlassian Confluence Server/Data Center < 6.13.23

6.14.0 <= Atlassian Confluence Server/Data Center < 7.4.11

7.5.0 <= Atlassian Confluence Server/Data Center < 7.11.6

7.12.0 <= Atlassian Confluence Server/Data Center < 7.12.5

安全版本：

Atlassian Confluence Server/Data Center 6.13.23

Atlassian Confluence Server/Data Center 7.4.11

Atlassian Confluence Server/Data Center 7.11.6

Atlassian Confluence Server/Data Center 7.12.5

Atlassian Confluence Server/Data Center 7.13.0

有关Gitlab exiftool远程命令执行漏洞（CVE-2021-22205）的更多信息，可参考：https://mp.weixin.qq.com/s/Xzz_3VYFGi7hFHBplOOLZQ、

三、勒索攻击分析

CERBER勒索病毒使用CryptoPP加密库对文件进行加密，加密行为极具针对性。腾讯安全本次捕获的利用Confluence远程代码执行漏洞（CVE-2021-26084）攻击的样本，加密路径针对性包含了Confluence 组件下相关文件。

而通过腾讯安全拓线关联的另一样本，可看出为样本针对性加密Gitlab目录文件。该样本通过GitLab exiftool 远程代码执行漏洞攻击(CVE-2021-22205)传播。攻击者通过不同漏洞投递的勒索样本，加密目录也会伴随着入侵方式做优化。

被加密后的文件将被添加.locked扩展后缀，同时留下名为__$$RECOVERY_README$$__.html的勒索信，要求登陆指定暗网地址购买解密器。

四、自助处置手册

1.加固

云主机可使用腾讯主机安全（云镜）的漏洞检测修复功能，协助用户快速修补相关高危漏洞，用户可登录腾讯主机安全控制台，依次打开左侧“漏洞管理”，对扫描到的系统组件漏洞、web应用漏洞、应用漏洞进行排查。步骤细节如下：

1）主机安全（云镜）控制台：打开漏洞管理->Web应用漏洞管理，点击一键检测

2）查看扫描到的Confluence 远程代码执行漏洞（CVE-2021-26084）漏洞风险项目

3）确认资产是否存在Confluence 远程代码执行漏洞（CVE-2021-26084）漏洞。运维登录后存在漏洞的资产，升级Confluence 到最新版本。

4）通过主机安全（云镜）控制台再次打开“漏洞管理”，重新检测。确保受影响资产已不存在Confluence 远程代码执行漏洞（CVE-2021-26084）。

2.防御

腾讯云防火墙支持对Confluence团伙使用的漏洞攻击进行检测防御，客户可以开通腾讯云防火墙高级版的防御功能：

在腾讯云控制台界面，打开入侵防御设置即可。

3.其它

如有其它疑问，无法自行解决，可在腾讯主机安全（云镜）控制台，点击专家服务 了解更多服务。 

五、时间线：

l  2021年8月25日，Atlassian官方发布安全通告，披露了一个Atlassian Confluence 远程代码执行漏洞（CVE-2021-26084)，攻击者利用漏洞可以完全控制服务器；

l  2021年8月26日，腾讯安全发布风险通告；

l  2021年8月31日，腾讯安全捕获Confluence Webwork OGNL表达式注入漏洞在野利用；

l  2021年9月1日，漏洞poc公开在Github；

l  2021年9月1日晚，腾讯安全检测到多个不同的挖矿木马团伙、僵尸网络团伙利用Confluence Webwork OGNL表达式注入漏洞攻击云主机；

l  2021年9月2日，腾讯安全检测到利用该漏洞攻击的黑产团伙增加到7个，包括挖矿木马家族5个：kwroksminer，iduckminer，h2miner，8220Miner，z0miner；僵尸网络家族2个：mirai，BillGates。失陷云上主机近千台；

l  2021年12月6日，腾讯安全Cyber-Holmes引擎检测到CERBER勒索软件利用Atlassian Confluence 远程代码执行漏洞（CVE-2021-26084）攻击云上主机。

六、IOCs

URL

hxxp://128.199.118.202/tmp.sh.2p

IP

128.199.118.202

MD5

76ee3782aa050c1b6bf8dd0567f57baa

3c4a05882045e90aab818a5cb8e3a8da

e278d253cae5bc102190e33f99596966 

七、参考链接：

https://jira.atlassian.com/browse/CONFSERVER-67940

https://mp.weixin.qq.com/s/SwkRSElJ04bmbUtnnF4MlQ

https://mp.weixin.qq.com/s/11c203ejxfb9ZBXtyjEhvg

https://mp.weixin.qq.com/s/X7tPyImyxuyutcrwQADbcQ

https://mp.weixin.qq.com/s/d8citoIBpMQKsVf931PLFw

扫描以下二维码关注“腾讯安全威胁情报中心”公众号，掌握最新的网络安全威胁情报。