Confluence RCE utnyttjas aktivt

Igår så fångade min honeypot upp ett intressant meddelande, nämligen att någon försöker utnyttja, alternativt kontrollera huruvida servrar är sårbara för CVE-2021-26084.

Eftersom min honeypot inte är just en Confluence-server så vet jag inte om antagonisten hade för avsikt att utnyttja en sårbarhet eller ej, som beskrivs enligt följande av Atlassian själva som utvecklar Confluence:

An OGNL injection vulnerability exists that would allow an authenticated user, and in some instances unauthenticated user, to execute arbitrary code on a Confluence Server or Data Center instance

Sårbarheten upptäcktes av Benny Jacob (SnowyOwl) och rapporterades via deras bugbounty-program hos BugCrowd.

Sårbara versioner:

• version < 6.13.23
• 6.14.0 ≤ version < 7.4.11
• 7.5.0 ≤ version < 7.11.5
• 7.12.0 ≤ version < 7.12.5

Åtgärdade versioner:

• 6.13.23
• 7.4.11
• 7.11.6
• 7.12.5
• 7.13.0