Jetzt patchen! Erpressungstrojaner Gandcrab frisst sich durch Confluence-Lücke
Die Angriffe auf Confluence weiten sich aus. Derzeit versuchen Angreifer verwundbare Systeme mit der Ransomware Gandcrab zu infizieren.
(Bild: geralt)
Die Wiki-Software Confluence ist in vielen Versionen verwundbar und Angreifer nutzen die "kritischen" Sicherheitslücken (CVE-2019-3395, CVE-2019-3396) derzeit aktiv aus. Sicherheitsforscher von Alert Logic haben nun neue Attacken beobachtet, bei denen Angreifer eine Schwachstelle als Schlupfloch für den Verschlüsselungstrojaner Gandcrab ausnutzen sollen.
Die Schwachstelle mit der Kennung CVE-2019-3396 findet sich im Widget Connector und Angreifer sollen aus der Ferne ohne Authentifizierung Code in _template injizieren können.
Um einer Entdeckung bei der Platzierung von Gandcrab zu entgehen, sollen sie auf mehrere legitime Standard-Tools und Windows PowerShell setzen. Klappt das alles, installiert sich der Schädling, verschlüsselt Dateien und fordert ein Lösegeld ein. Weitere Infos zu der Attacke haben die Sicherheitsforscher in einem Blog-Beitrag festgehalten.
Updaten
Abgesicherte Versionen sind bereits erhältlich. In einer Sicherheitswarnung geben die Entwickler an, die Lücken in den Ausgaben ab 6.6.12, 6.12.3, 6.13.3 und 6.14.2 geschlossen zu haben. Alle vorigen Versionen sind bedroht. Nutzer von Confluence Cloud sollen nicht betroffen sein. Bereits vergangene Woche kam es zu Angriffen auf verwundbare Confluence-Installationen.
Powershell als Angriffswerkzeug
Auf der bereits nächste Woche startenden heise-Security-Tour erklären Experten im Vortrag "Powershell für Angreifer: Was die Tools der Angreifer alles können und was Sie dagegen tun können" Hintergründe zum Einsatz von Microsofts Framework im Malwarebereich. (des)
