预警| Confluence 高危漏洞被大规模利用,阿里云WAF接入即可防护,支持免费应急服务

Posted zhaowei121

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了预警| Confluence 高危漏洞被大规模利用,阿里云WAF接入即可防护,支持免费应急服务相关的知识,希望对你有一定的参考价值。

2019年4月4日,阿里云安全应急响应中心监测到Confluence 官方发布安全更新指出,Widget Connector 存在服务端模板注入漏洞,攻击者能利用此漏洞实现目录穿越遍历甚至远程命令执行。4月10日远程命令执行PoC被公开,阿里云监测到此漏洞被大规模利用,4月12日凌晨攻击流量达到第二次高峰。

技术图片

4月6日出现第一次大规模攻击,全天攻击次数超过5000次,阿里云WAF默认规则均成功防御。攻击特征为任意文件读取,攻击者通过构造特定请求读取本地敏感文件信息。

技术图片

直到4月7日,第一波攻击结束,阿里云WAF客户并未受影响。阿里云安全应急响应中心持续监测该漏洞影响情况,在接下来的3天,并未有新的攻击发生。

技术图片

直到4月10日,远程命令执行PoC被公开,针对Conflunce的又一轮扫描开始,并且规模增大。攻击者可以加载远程恶意构造的模版,利用velocity模版引擎渲染执行恶意代码,从而达到远程命令执行的效果。

4月11日,第二波攻击开始出现,针对性攻击和扫描流量也呈现持续上升趋势,并确认新的利用PoC的攻击流量出现。阿里云WAF成功升级漏洞防护拦截规则,实时执行有效拦截。截止发稿前,阿里云WAF防护拦截的攻击涉及目标高达数万域名,攻击次数超过15000次,已全部有效拦截。

Conflunce作为一个专业的企业知识管理和协同软件,一个专业的wiki,被广泛应用在各企业进行团队成员之间的知识共享和协同办公,涉及用户广泛。虽然该漏洞刚开始爆发时影响范围可控,但是几天后再次爆出新的漏洞利用点,一旦被黑客成功利用,将会获取系统命令执行权限,进而导致服务器被黑客入侵。

 



本文作者:云安全专家

原文链接

本文为云栖社区原创内容,未经允许不得转载。

以上是关于预警| Confluence 高危漏洞被大规模利用,阿里云WAF接入即可防护,支持免费应急服务的主要内容,如果未能解决你的问题,请参考以下文章

高危漏洞预警:Struts2 远程命令执行漏洞(CVE-2018-11776/S2-057)

高危预警|美国ImmunitySec商业版漏洞扫描工具泄露

Struts2远程代码执行漏洞预警

预警通报关于SaltStack多个高危漏洞的预警通报

重大紧急安全预警:Apache Struts 2再爆高危远程漏洞

漏洞预警 | ECShop全系列版本远程代码执行高危漏洞