A plataforma de desenvolvimento de software e gerenciamento de projetos Atlassian está sob ataque, principalmente no Brasil, China, Hong Kong, Nepal, Romênia, Rússia e EUA, conforme já alertou na semana passada a consultoria Bad Packets. Agora, novo alerta vem do Cyber Command dos EUA. O órgão emite poucos alertas e o último deles, publicado sexta-feira dia 3 de setembro no Twitter, diz o seguinte: “Mass exploitation of Atlassian Confluence CVE-2021-26084 is ongoing and expected to accelerate. Please patch immediately if you haven’t already— this cannot wait until after the weekend”.
A mensagem não podia ser mais clara: estão ocorrendo muitas tentativas de invasão do Atlassian Confluence e quem não fez o patch publicado pela empresa dia 25 de agosto passado está em risco elevado. O Cyber Command tem indicações de que os invasores podem estar se preparando para uma campanha maior, criando problemas para todo o setor privado.A falha está registrada com o CVE-2021-26084. Ela permite que os agentes da ameaça executem remotamente código arbitrário nessa plataforma de colaboração.
Veja isso
Atlassian alerta para falhas críticas no Jira
Atlassian corrige “vulnerabillidades de um clique”
A empresa de inteligência de ameaças Bad Packets detectou “varredura em massa e atividade de exploração” aproveitando a vulnerabilidade de hosts no Brasil, China, Hong Kong, Nepal, Romênia, Rússia e EUA, antes que a Atlassian atualizasse seu aviso aos usuários sobre o ataque. Os principais payloads são de cryptomining, informou a Bad Packets.
Descrito como “uma vulnerabilidade de injeção OGNL”, o bug existe nos produtos Atlassian Confluence Server e Confluence Data Center, ambos vulneráveis a atacantes remotos não autenticados.
Com uma alta classificação de gravidade CVSS de 9,8 numa escala de 10, a vulnerabilidade foi relatada pela primeira vez em 27 de julho de 2021. No entanto, devido à sua gravidade, a Atlassian não publicou detalhes sobre seu mecanismo de exploração, mesmo depois de ter emitido um patch no mês passado, em 25 de agosto de 2021. Consta que os agentes de ameaças começaram a explorar a vulnerabilidade logo após o lançamento do patch.
“Esta vulnerabilidade está sendo explorada ativamente na internet. Os servidores afetados devem ser corrigidos imediatamente ”, informou a Atlassian .A vulnerabilidade afeta as versões do Confluence Server e Data Center anteriores à versão 6.13.23, da versão 6.14.0 antes da versão 7.4.11, da versão 7.5.0 antes da 7.11.6 e da versão 7.12.0 antes da 7.12.5.
Com agências de notícias internacionais