背景简介
近日,Atlassian Confluence软件的一个重大安全漏洞CVE-2023-22527遭到黑客利用,意图控制服务器进行挖矿活动。该漏洞在今年1月被Atlassian公司修复,但仍有黑客试图利用此漏洞进行非法操作。
漏洞详情
根据安全研究人员警告,今年6月中旬至7月底,資安業者趨勢科技观察到大量针对CVE-2023-22527漏洞的利用尝试。该漏洞的CVSS风险评分为10分,属于重大级别。
黑客行为分析
研究人员发现,至少有3组黑客利用该漏洞攻击Confluence服务器,并将其用于挖掘加密货币。其中一组黑客特别引人注意,因为他们使用Shell指令码进行SSH连接,从而在受害服务器上部署挖矿程序。
以下是黑客的主要攻击步骤:
- 下载Shell文件:黑客首先下载Shell文件,并通过bash命令在内存中执行。
- 清除挖矿软件进程:指令码启动后,会清除已知的挖矿软件进程以及从特定文件夹执行的进程。
- 删除cron工作排程:指令码接着删除所有cron工作排程,并添加C2连接的工作排程,每5分钟检查一次。
- 移除防护机制:黑客还会移除阿里云的Alibaba Cloud Shield和腾讯云的防护机制。
- 收集系统信息:攻击者进一步收集所需的系统信息,并通过SSH连接进行挖矿活动。
- 横向移动:黑客还会利用SSH连接进行横向移动,利用其他服务器扩大挖矿规模。
- 清除日志:最后,攻击者会清除系统和bash的事件日志,以抹去作案痕迹。
影响与防范
此次漏洞利用事件可能导致受影响的Confluence服务器资源被非法占用,影响正常业务运行。同时,黑客通过挖矿活动获取的加密货币收益,也可能给受害者带来经济损失。
为防范此类攻击,Atlassian公司已在今年1月修补了CVE-2023-22527漏洞。用户应尽快更新Confluence软件,确保系统安全。此外,建议用户加强网络安全意识,定期检查服务器状态,及时发现异常行为。
总结
Atlassian Confluence软件的重大漏洞CVE-2023-22527被黑客利用,意图控制服务器进行挖矿活动,给用户带来安全隐患。广大用户应提高警惕,及时更新软件,加强网络安全防护,以避免遭受损失。同时,相关部门和企业也应加强网络安全监管,共同维护网络空间的安全稳定。
Views: 0