Achtung: Die Atlassian Confluence-Sicherheitslücke wird weiter aktiv ausgenutzt!
von Tina Siering
Die Anfang Juni gepatchte, kritische Sicherheitslücke (CVE-2022-26134, CVSS-Score: 9,8) in Atlassian Confluence Server- und Data Center-Produkten wird weiterhin aktiv für Ransomware-Angriffe genutzt: Bei mindestens zwei Vorfällen nutzten Angreifer die Schwachstelle aus, um bösartigen Schadcode (z.B. Cerber-Ransomware, Cobalt Strike über Web-Shell, Mirai- und Kinsing-Bot-Varianten und einen Krypto-Miner namens z0miner) zu verbreiten.
Falls der nötige Patch bisher noch nicht durchgeführt wurde, ist mit großer Wahrscheinlichkeit davon auszugehen, dass Systeme mittlerweile kompromittiert sind und dementsprechend forensisch untersucht werden sollten.
Aber auch von vermeintlich geschlossenen Sicherheitslücken geht Gefahr aus: haben Angreifer einen Cryptominer erst einmal erfolgreich installiert, wird dieser weiter seinen Dienst leisten, auch nachdem das System gepatcht wird. Gleiches gilt für die erfolgreiche Infiltration mittels Schadcode.
Unsere Allgeier secion-Kunden mit einem aktiven Managed Service-Vertrag für ACD werden selbstverständlich über maliziöse Kommunikation auf ihren Systemen informiert, aktuell prüfen wir bspw. aktiv auf die IoCs von Confluence.
Fazit
Zeit ist und bleibt also ein kritischer Faktor in der Entdeckung und Ausschaltung von Cyberbedrohungen wie Ransomware.
Wir zeigen Ihnen, dass Sie kein SOC, kein SIEM und keine Forensik mehr brauchen: mit dem Active Cyber Defense (ACD)-Service erfahren Sie 24/7, ob Angriffsaktivitäten in Ihrem Netzwerk stattfinden, unmittelbar nach erfolgter Kompromittierung eines Systems.
ACD entlastet Ihr IT-Security Team und ist als Managed Service zum monatlichen Festpreis buchbar.