Krypto-Miner und Verschlüsselungstrojaner schlüpfen durch Confluence-Lücke
Es häufen sich Attacken auf ungepatchte Instanzen von Confluence Server und Data Center. Sicherheitspatches sind verfügbar.
Immer mehr Angreifer haben es auf Confluence Server und Confluence Data Center abgesehen und setzen an einer als "kritisch" eingestuften Sicherheitslücke an. Die Cloud-Version von Confluence soll von der Schwachstelle nicht betroffen sein.
Sind Attacken erfolgreich, können Angreifer Schadcode ausführen – und genau das passiert nun schon seit einigen Wochen. Jetzt berichten mehrere Sicherheitsforscher unabhängig voneinander, dass so Krypto-Miner und Ransomware auf verwundbaren Systemen landen.
Die Lücke (CVE-2022-26134) ist seit Anfang Juni bekannt und es gab bereits erste Attacken. Kurz darauf hat Atlassian die abgesicherten Versionen 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 und 7.18.1 veröffentlicht. Schnell war Exploit-Code in Umlauf und die Lage spitzte sich weiter zu.
Krypto-Miner und Ransomware
Inzwischen berichten Sicherheitsforscher von Prodaft, dass Angreifer die Ransomware AvosLocker durch die Lücke schieben, um Daten zu verschlüsseln und Lösegeld einzufordern. Microsoft warnt auf Twitter, dass sich auch der Erpressungstrojaner Cerber2021 auf ungepatchten Confluence-Instanzen ausbreitet.
Sicherheitsforscher von Check Point haben Krypto-Miner-Attacken beobachtet. Nach erfolgreichen Infektionen missbraucht der Schädling die Rechenleistung der Instanz, um Krypto-Währung zu schürfen. Theoretisch könnten Angreifer in dieser Position noch weitere Malware auf Systemen platzieren.
Jetzt patchen!
Admins sollten die verfügbaren Sicherheitsupdates zügig installieren, um ihre Instanzen gegen die derzeit laufenden Attacken abzusichern. Ist das zurzeit nicht möglich, müssen sie Systeme bis zur Patch-Installation über eine von Atlassian dokumentierte Übergangslösung absichern.
Betroffene Produkte präzisiert.
(des)