Jetzt patchen! Krypto-Miner schlüpft durch Confluence-Lücke
Angreifer nutzen derzeit aktiv eine kritische Sicherheitslücke in der Wiki-Software Confluence aus. Ein Sicherheitsupdate ist verfügbar.
(Bild: Photon photo/Shutterstock.com)
Die Wiki-Software Confluence Server und Data Center von Atlassian sind verwundbar – und genau das machen sich Angreifer zur Zeit zunutze. Beobachtungen von Sicherheitsforschern zufolge scannen Angreifer nach Systemen, attackieren diese und versuchen einen Krypto-Trojaner zu installieren.
Attacken auf Linux- und Windows-Server
Die als "kritisch" eingestufte Sicherheitslücke (CVE-2021-26084) findet sich in Confluence Server Webwork OGNL. Viele Infos über mögliche Angriffsszenarien sind nicht bekannt. Angreifer müssen für erfolgreiche Attacken wohl authentifiziert sein. In einigen Fällen sollen Angriffe aber auch ohne Authentifizierung möglich sein.
Nun warnen unter anderem Sicherheitsforscher von Bad Packets auf Twitter vor Attacken auf Linux- und Windows-Server mit verwundbaren Confluence-Versionen. Nach einer erfolgreichen Attacke soll etwa der Krypto-Miner XMRig auf Systemen landen und deren Rechenleistung für das Schürfen von Kryptowährung abzwacken.
Wenn kein Patch, dann Workaround
Dabei muss es aber nicht bleiben und Angreifer könnten auch Hintertüren oder Spionage-Trojaner auf Servern hinterlassen. Darüber könnten sie ganze Netzwerke kompromittieren und beispielsweise Geschäftsinterna kopieren. Admins sollten zügig eine der abgesicherten Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0 installieren. Alle jüngeren Versionen sollen verwundbar sein. Atlassian rät Admins, die Long-Term-Support-Ausgabe 7.13.0 (LTS) zu installieren. Ein Beitrag erklärt, wie man Upgrades durchführt.
Können Admins derzeit kein Sicherheitsupdate installieren, sollten sie Confluence-Server temporär mit einem Skript für Linux oder Windows (zu finden unter Mitigation) absichern.
(des)
