记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

未打补丁的 Atlassian Confluence 服务器被黑客部署加密矿工

2022-09-22 17:53

Hackernews 编译,转载请注明出处:微信截图_20220922144901

几个月前发现的影响Atlassian Confluence Server的现已修补的严重安全漏洞正在被积极利用,在未修补的安装上进行非法加密货币挖掘。

Trend Micro威胁研究员Sunil Bharti在一份报告中:“如果不加以补救并成功利用,该漏洞可能会被用于多种恶意攻击,例如完全接管基础设施和部署信息窃取者、远程访问木马(RAT)和勒索软件。”

该漏洞被追踪为CVE-2022-26134(CVSS评分:9.8),于2022年6月由澳大利亚软件公司解决。

在网络安全公司观察到的一个感染链中,该漏洞被用来在受害者的机器上下载并运行一个shell脚本(“ro.sh”),进而获取第二个shell脚本(“ap.sh” ”)。

恶意代码旨在更新PATH变量以包含其他路径,例如“/tmp”,从远程服务器下载cURL实用程序(如果不存在),禁用iptables防火墙,滥用PwnKit漏洞(CVE-2021-4034)获得root权限,并最终部署hezb加密矿工。

curl

与其他密码劫持攻击一样,shell脚本也会终止其他竞争对手的硬币矿工,禁用阿里巴巴和腾讯的云服务提供商代理,然后通过SSH进行横向移动。

这些发现反映了Lacework微软、SophosAkamai之前在6月份披露的类似利用漏洞的企图。

Lacework的分析进一步表明,用于检索cURL软件的命令和控制 (C2) 服务器以及hezb矿工还分发了一个名为“ kik ”的基于Golang的ELF二进制文件,该文件使恶意软件能够杀死感兴趣的进程。

建议用户优先修补该漏洞,因为它可能被黑客用于其他恶意目的。

Bharti说:“攻击者可以利用注入自己的代码进行解释,并获得对目标Confluence域的访问权限,还可以进行攻击,从控制服务器进行后续恶意活动到破坏基础设施本身。”

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文


知识来源: https://hackernews.cc/archives/41651

阅读:137305 | 评论:0 | 标签:网络安全 黑客事件 Atlassian Confluence 黑客 加密

想收藏或者和大家分享这篇好文章→复制链接地址

“未打补丁的 Atlassian Confluence 服务器被黑客部署加密矿工”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎营运续持们我助帮↓

标签云 ☁