CVE-2022-26134 Erkennung: Atlassian Confluence Zero-Day-Schwachstelle
Inhaltsverzeichnis:
Gegner starten aufsehenerregende Angriffe auf verwundbare Confluence-Server weltweit. Atlassian warnt seine Nutzer vor den Sicherheitsrisiken, die mit einer RCE-Schwachstelle verbunden sind, die in allen unterstützten Versionen von Confluence (Server und Data Center) entdeckt wurde. Der Fehler wird als CVE-2022-26134 verfolgt, wobei der Anbieter ihn als Sicherheitslücke mit dem höchsten Schweregrad einstufte. Ab dem 3. Juni 2022 gibt es keine Patches zur Behebung dieser Sicherheitslücke im Unternehmens-Wiki von Atlassian.
Erkennung von CVE-2022-26134
Um zu verhindern, dass dieser Zero-Day-Exploit Ihrem System erheblichen Schaden zufügt, verwenden Sie die folgenden Sigma-Regeln, die von einem Team von engagierten Threat-Hunting-Ingenieuren von SOC Prime:
Mögliche OS-Befehlsinjektionsmuster (via web)
Verdächtiger Java-Child-Prozess (via cmdline)
Ein weiteres Regel-Kit von 2020, das unsere Sicherheitsanalysten als nützlich erachten:
Mögliche OS-Befehlsinjektionsmuster (via web)
Nicht registrierte Benutzer können die Sammlung von Sigma-Regeln über die Suchmaschine durchsuchen – eine zentrale Anlaufstelle für Bedrohungsaufklärung und SOC-Inhalte. Drücken Sie den „Drill Down to Search Engine“ Knopf, um Ihre Erkennungsroutine auf die nächste Stufe zu heben.
Eine weitere Möglichkeit, die mehr Optionen eröffnet, besteht darin, sich auf der SOC Prime Plattform zu registrieren und einen kostenlosen Community-Abonnementplan zu erhalten. Drücken Sie den „In der SOC Prime Plattform anzeigen“-Button um Zugriff auf eine umfassende Sammlung von Erkennungsalgorithmen für mehrere Zero-Day-Schwachstellen zu erhalten, die mit über 25 SIEM-, EDR- und XDR-Lösungen übereinstimmen.
In der SOC Prime Plattform anzeigen „Drill Down to Search Engine“
Beschreibung von CVE-2022-26134
Die Schwachstelle in Confluence wurde erstmals von Volexity erst kürzlich über das Memorial-Day-Wochenende entdeckt. Nach Angaben der Forscher nutzten die Bedrohungsakteure die Zero-Day-Injektionsschwachstelle, um vollen Systemzugriff zu erlangen und die Behinder-Web-Shell für weitere bösartige Aktivitäten zu installieren.
Aufgrund des Fehlens eines Patches empfiehlt Atlassian Administratoren, den externen Zugriff auf Confluence-Server zu sperren. Derzeit gibt es keine Daten darüber, dass von dieser Sicherheitslücke cloudgehostete Server betroffen sind.
Letzten August hat das Unternehmen einen weiteren kritischen Fehler in seinem Produkt bekannt gegeben, der es nicht authentifizierten Benutzern erlaubte, beliebigen Code auf Geräten mit installiertem Confluence Server oder Confluence Data Center auszuführen. Die Injektionsschwachstelle wurde als CVE-2021-26084.
SOC Prime erweitert kontinuierlich die Unterstützung für Sicherheitsanalyse-Tools und -Technologien, verbessert die Erkennungsmöglichkeiten für Next-Generation-SIEM-, EDR- und XDR-Plattformen und stellt zukunftssichere und kosteneffiziente Lösungen für SOC-Profis weltweit sicher. Erfahren Sie mehr darüber, was wir bieten, um eine bessere Erkennung anzutreiben.
