中共针对Atlassian Confluence的攻击

关键要点

• 中共支持的威胁组织Storm-0062正在攻击Atlassian Confluence Data Center和Server实例。
• 该攻击利用了一个零日漏洞，编号为CVE-2023-22515，早在漏洞披露前已经被利用。
• 攻击利用的特权提升漏洞允许任何具有网络连接的设备创建Confluence管理员账户。
• 官方建议立即孤立受影响的Confluence应用并及时升级到修复版本。
• 即便更新已被攻击的实例，依然无法消除感染。

根据的报道，中共支持的威胁组织Storm-0062（亦称为DarkShadow和Oro0lxy）已经针对Atlassian的ConfluenceDataCenter和Server实例展开持续攻击。这些攻击自9月14日以来利用了一个零日漏洞，编号为CVE-2023-22515，时间恰好在该漏洞公开披露的前三周。根据微软的报告，利用该特权提升漏洞的攻击流量来源于四个IP地址。

微软表示：“任何与易受攻击的应用程序具有网络连接的设备都可以利用CVE-2023-22515，在应用程序内创建Confluence管理员账户。”因此，微软敦促立即孤立受影响的Confluence应用，并尽快升级到包含修复的更新版本。Atlassian最近更新了其指导方针，以反映对Confluence漏洞的国家级别利用风险，并警告称，更新被攻击的实例并无法消除感染。Atlassian还补充道：“如果确定您的实例已经受到攻击，我们建议您立即关闭并将服务器从网络/互联网中断开。”

通过采取适当的安全措施和及时更新，用户可以减少这种安全漏洞带来的风险。请务必关注相关更新，并深入了解如何保护自身的应用环境。