威胁研究正文

通报:CERBER勒索软件利用Confluence RCE等多个高危漏洞攻击云主机

2021-12-07 02:08:18

12月6日,腾讯安全Cyber-Holmes引擎系统检测并发出告警:CERBER勒索软件传播者利用Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLab exiftool 远程代码执行漏洞(CVE-2021-22205)攻击云上主机。被勒索软件加密破坏的文件无密钥暂不能解密,腾讯安全专家建议所有受影响的用户尽快修复漏洞,避免造成数据完全损失,业务彻底崩溃。

一、概述

12月6日,腾讯安全Cyber-Holmes引擎系统检测并发出告警:CERBER勒索软件传播者利用Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLab exiftool 远程代码执行漏洞(CVE-2021-22205)攻击云上主机。被勒索软件加密破坏的文件无密钥暂不能解密,腾讯安全专家建议所有受影响的用户尽快修复漏洞,避免造成数据完全损失,业务彻底崩溃。

Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084)为8月26日披露的高危漏洞,该漏洞的CVSS 评分为 9.8,是一个对象图导航语言 (ONGL) 注入漏洞,允许未经身份验证的攻击者在 Confluence Server 或Data Center实例上执行任意代码,攻击者利用漏洞可完全控制服务器。

GitLab exiftool远程命令执行漏洞(CVE-2021-22205)同样也是网络黑产疯狂利用的高危漏洞。由于Gitlab某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码,攻击者利用漏洞同样可以完全控制服务器。

腾讯安全专家指出,网络黑灰产业对高危漏洞的利用之快令人印象深刻,在Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLab exiftool 远程代码执行漏洞(CVE-2021-22205)漏洞详情及POC代码公开之后,已检测到多个网络黑灰产业对云主机发起多轮攻击。这些攻击较多为挖矿木马或其他僵尸网络,一般不会造成云主机崩溃瘫痪,今天捕获的针对linux云主机的勒索软件攻击,可造成数据完全损失,业务彻底崩溃。 


二、漏洞影响范围

腾讯安全网络空间测绘数据显示,Atlassian Confluence 应用广泛,中国占比最高(21.46%)、其次是美国(21.36%)、德国(18.40%)。

{xunruicms_img_title}

 

受影响的版本:

Atlassian Confluence Server/Data Center < 6.13.23

6.14.0 <= Atlassian Confluence Server/Data Center < 7.4.11

7.5.0 <= Atlassian Confluence Server/Data Center < 7.11.6

7.12.0 <= Atlassian Confluence Server/Data Center < 7.12.5

 

安全版本:

Atlassian Confluence Server/Data Center 6.13.23

Atlassian Confluence Server/Data Center 7.4.11

Atlassian Confluence Server/Data Center 7.11.6

Atlassian Confluence Server/Data Center 7.12.5

Atlassian Confluence Server/Data Center 7.13.0

 

有关Gitlab exiftool远程命令执行漏洞(CVE-2021-22205)的更多信息,可参考:https://mp.weixin.qq.com/s/Xzz_3VYFGi7hFHBplOOLZQ


三、勒索攻击分析

CERBER勒索病毒使用CryptoPP加密库对文件进行加密,加密行为极具针对性。腾讯安全本次捕获的利用Confluence远程代码执行漏洞(CVE-2021-26084)攻击的样本,加密路径针对性包含了Confluence 组件下相关文件。

{xunruicms_img_title}

 

{xunruicms_img_title}

 

而通过腾讯安全拓线关联的另一样本,可看出为样本针对性加密Gitlab目录文件。该样本通过GitLab exiftool 远程代码执行漏洞攻击(CVE-2021-22205)传播。攻击者通过不同漏洞投递的勒索样本,加密目录也会伴随着入侵方式做优化。

{xunruicms_img_title}

 

被加密后的文件将被添加.locked扩展后缀,同时留下名为__$$RECOVERY_README$$__.html的勒索信,要求登陆指定暗网地址购买解密器。

{xunruicms_img_title}

 

{xunruicms_img_title}

 

{xunruicms_img_title}

 

四、自助处置手册

 

1.加固

云主机可使用腾讯主机安全(云镜)的漏洞检测修复功能,协助用户快速修补相关高危漏洞,用户可登录腾讯主机安全控制台,依次打开左侧“漏洞管理”,对扫描到的系统组件漏洞、web应用漏洞、应用漏洞进行排查。步骤细节如下:

 

1)主机安全(云镜)控制台:打开漏洞管理->Web应用漏洞管理,点击一键检测

{xunruicms_img_title}

 

2查看扫描到的Confluence 远程代码执行漏洞(CVE-2021-26084)漏洞风险项目

 

3)确认资产是否存在Confluence 远程代码执行漏洞(CVE-2021-26084)漏洞。运维登录后存在漏洞的资产,升级Confluence 到最新版本

 

4)通过主机安全(云镜)控制台再次打开“漏洞管理”,重新检测。确保受影响资产已不存在Confluence 远程代码执行漏洞(CVE-2021-26084)

 

2.防御

腾讯云防火墙支持对Confluence团伙使用的漏洞攻击进行检测防御,客户可以开通腾讯云防火墙高级版的防御功能:

 

在腾讯云控制台界面,打开入侵防御设置即可。

{xunruicms_img_title}

 

3.其它

如有其它疑问,无法自行解决,可在腾讯主机安全(云镜)控制台,点击专家服务 了解更多服务。 

 

五、时间线:

l  2021年8月25日,Atlassian官方发布安全通告,披露了一个Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084),攻击者利用漏洞可以完全控制服务器;

l  2021年8月26日,腾讯安全发布风险通告;

l  2021年8月31日,腾讯安全捕获Confluence Webwork OGNL表达式注入漏洞在野利用;

l  2021年9月1日,漏洞poc公开在Github;

l  2021年9月1日晚,腾讯安全检测到多个不同的挖矿木马团伙、僵尸网络团伙利用Confluence Webwork OGNL表达式注入漏洞攻击云主机;

l  2021年9月2日,腾讯安全检测到利用该漏洞攻击的黑产团伙增加到7个,包括挖矿木马家族5个:kwroksminer,iduckminer,h2miner,8220Miner,z0miner;僵尸网络家族2个:mirai,BillGates。失陷云上主机近千台;

l  2021126日,腾讯安全Cyber-Holmes引擎检测到CERBER勒索软件利用Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084)攻击云上主机。

 

六、IOCs

URL

hxxp://128.199.118.202/tmp.sh.2p

 

IP

128.199.118.202

 

MD5

76ee3782aa050c1b6bf8dd0567f57baa

3c4a05882045e90aab818a5cb8e3a8da

e278d253cae5bc102190e33f99596966 

 

七、参考链接:

https://jira.atlassian.com/browse/CONFSERVER-67940

https://mp.weixin.qq.com/s/SwkRSElJ04bmbUtnnF4MlQ

https://mp.weixin.qq.com/s/11c203ejxfb9ZBXtyjEhvg

https://mp.weixin.qq.com/s/X7tPyImyxuyutcrwQADbcQ

https://mp.weixin.qq.com/s/d8citoIBpMQKsVf931PLFw


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


在线咨询