공격자는 전 세계의 취약한 Confluence 서버에 대해 주목할 만한 공격을 개시합니다. Atlassian은 모든 지원 버전의 Confluence (서버 및 데이터 센터)에서 탐지된 RCE 결함과 관련된 보안 위험에 대해 사용자들에게 경고합니다. 이 버그는 CVE-2022-26134로 추적되며, 벤더는 이를 최고 심각도 수준이라고 평가합니다. 2022년 6월 3일 현재, Atlassian의 기업 위키의 이 취약점을 수정하기 위한 패치는 없습니다.
CVE-2022-26134 탐지
이 제로데이 익스플로이트가 시스템에 심각한 피해를 입히지 않도록 방지하기 위해, 열정적인 위협 헌팅 엔지니어 팀이 발표한 다음의 Sigma 규칙을 활용하세요 SOC Prime:
CVE-2022-26134 취약점 이후의 실행 가능성 (cmdline 이용)
의심스러운 Java 하위 프로세스 (cmdline 이용)
우리의 보안 분석가들이 유용하다고 생각하는 2020년의 또 다른 규칙 키트:
등록되지 않은 사용자는 검색 엔진을 통해 사용할 수 있는 Sigma 규칙 컬렉션을 탐색할 수 있습니다. 이는 위협 인텔리전스 및 SOC 콘텐츠를 위한 원스톱 쇼핑몰입니다. 탐지 루틴을 다음 단계로 올리기 위해 검색 엔진으로 드릴 다운 버튼을 누르세요.
또 다른 옵션은 SOC Prime 플랫폼에 등록하고 무료 커뮤니티 구독 플랜을 얻는 것입니다. 다중 제로데이 취약점에 대한 탐지 알고리즘의 포괄적인 컬렉션에 액세스하려면 SOC Prime 플랫폼에서 보기 버튼 을 클릭하세요.
SOC Prime 플랫폼에서 보기 검색 엔진으로 드릴 다운
CVE-2022-26134 설명
Confluence의 취약점은 처음에는 Volexity 에 의해 발견되었습니다. 연구원들에 따르면, 위협 행위자들은 제로데이 삽입 취약점을 활용하여 전체 시스템 접근 권한을 얻고 추가적인 악의적 활동을 위해 Behinder 웹 쉘을 심었습니다.
패치의 부재로 인해, Atlassian은 관리자들이 Confluence 서버에 대한 외부 접근을 금지하도록 권장합니다. 현재 클라우드 호스팅 서버가 이 보안 결함의 영향을 받았는지에 대한 데이터는 없습니다.
작년 8월, 회사는 Confluence Server 또는 Confluence Data Center가 설치된 장치에서 인증되지 않은 사용자가 임의 코드를 실행할 수 있게 하는 또 다른 심각한 버그를 공개했습니다. 이 삽입 결함은 CVE-2021-26084.
SOC Prime은 전 세계 SOC 전문가를 위해 차세대 SIEM, EDR 및 XDR 플랫폼의 탐지 기능을 강화하고 미래 지향적이고 비용 효율적인 솔루션을 보장하기 위해 보안 분석 도구 및 기술에 대한 지원을 지속적으로 확대하고 있습니다. 더 알아보기 더 나은 탐지를 위해 우리가 제공하는 것들에 대하여.
