Eksploitasi proof-of-concept atas kritik kerentanan CVE-2022-26134 yang dieksploitasi secara aktif yang berdampak pada server Atlassian Confluence dan Data Center telah dirilis secara luas mulai akhir pekan ini.
Kerentanan atau bug yang dilacak sebagai CVE-2022-26134 adalah kerentanan eksekusi kode jarak jauh yang tidak diautentikasi secara kritis yang dieksploitasi melalui injeksi OGNL dan berdampak pada semua server Atlassian Confluence dan Data Center 2016 versi 1.3.0 keatas.
Rilis eksploitasi yang berhasil memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk membuat akun admin baru, menjalankan perintah, dan akhirnya mengambil alih server.
Kerentanan itu diungkapkan minggu lalu setelah Volexity menemukan bahwa itu digunakan oleh banyak aktor ancaman dalam serangan hack. Pada saat itu, patch tidak tersedia, dan Atlassian menyarankan admin untuk membuat server offline atau memblokirnya agar tidak dapat diakses dari Internet.
Pada hari Jumat kemarin, Atlassian merilis pembaruan keamanan untuk memperbaiki kerentanan tepat ketika serangan meningkat di alam liar.
Eksploitasi pertemuan Atlassian Confluence RCE dirilis secara publik
Jumat sore, eksploitasi proof-of-concept untuk kerentanan Atlassian Confluence telah diposting secara publik. Eksploitasi segera menyebar luas secara online selama akhir pekan, dengan para peneliti berbagi contoh di Twitter tentang betapa sepelenya mengeksploitasi.
Kemarin sore, Andrew Morris, CEO perusahaan keamanan siber GreyNoise, mentweet bahwa mereka mulai melihat 23 alamat IP unik yang mengeksploitasi kerentanan Atlassian.
Hari ini, GreyNoise melaporkan bahwa jumlah alamat IP unik yang mencoba mengeksploitasi kerentanan ini telah tumbuh hampir sepuluh kali lipat, menjadi 211 alamat IP unik.
Sumber: GreyNoise
Eksploitasi pertemuan yang diposting online menunjukkan cara membuat akun admin baru, memaksa permintaan DNS, mengumpulkan informasi, dan menghasilkan shell terbalik.
Baca juga : Aplikasi Microsoft Office Rentan terhadap Serangan Homograf
Patch server Atlassian Confluence Anda sekarang!
Jika Anda belum menambal kerentanan keamanan di server Confluence atau Pusat Data, Anda harus segera melakukannya sebelum pelaku ancaman mengkompromikannya.
“Versi yang dirilis 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 dan 7.18.1 yang berisi perbaikan untuk masalah ini,” jelas juru bicara Atlassian.
Jika karena alasan tertentu, Anda tidak dapat segera menambal server Anda, Atlassian telah menyediakan mitigasi untuk Confluence 7.0.0 hingga versi 7.18.0.
Karena server Confluence adalah target yang menarik untuk akses awal ke jaringan perusahaan, perangkat harus segera diperbarui, dikurangi, atau offline.
Tidak melakukannya pada akhirnya akan menyebabkan serangan yang lebih signifikan, termasuk penyebaran ransomware dan pencurian data.
Sumber : bleepingcomputer.com