Компания TrendMicro наблюдала активную эксплуатацию CVE-2022-26134, уязвимости удаленного выполнения кода (RCE) без аутентификации с рейтингом критичности 9,8 в инструменте для совместной работы Atlassian Confluence. Уязвимость используется для вредоносного майнинга криптовалюты.
Confluence уже выпустила совет по безопасности, в котором подробно описаны исправления, необходимые для всех затронутых продуктов, а именно всех версий Confluence Server и Confluence Data Center. Если уязвимость не будет устранена и успешно эксплуатироваться, она может быть использована для многочисленных и более вредоносных атак, таких как полный захват домена инфраструктуры и развертывание похитителей информации, троянов удаленного доступа (RAT) и программ-вымогателей. Пользователям и организациям рекомендуется как можно скорее перейти на исправленные версии, применить доступные исправления или использовать временные исправления, чтобы снизить риски злоупотребления.
Indicators of Compromise
IPv4
- 199.247.0.216
- 202.28.229.174
IPv4 Port Combinations
- 106.251.252.226:4545
URLs
- http://202.28.229.174/ap.sh
- http://202.28.229.174/ap.txt
- http://202.28.229.174/curl
- http://202.28.229.174/kik
- http://202.28.229.174/ko
- http://202.28.229.174/kthmimu.txt
- http://202.28.229.174/ldr.sh
- http://202.28.229.174/sys.x86_64
SHA256
- 4dcae1bddfc3e2cb98eae84e86fb58ec14ea6ef00778ac5974c4ec526d3da31f
- f13e48658426307d9d1434b50fa0493f566ed1f31d6e88bb4ac2ae12ec31ef1f