Die Wiki-Software Confluence Server und Data Center von Atlassian sind verwundbar – und genau das machen sich Angreifer zur Zeit zunutze. Beobachtungen von Sicherheitsforschern zufolge scannen Angreifer nach Systemen, attackieren diese und versuchen einen Krypto-Trojaner zu installieren. Die als „kritisch“ eingestufte Sicherheitslücke (CVE-2021-26084) findet sich in Confluence Server Webwork OGNL. Viele Infos über mögliche Angriffsszenarien sind nicht bekannt. Angreifer müssen für erfolgreiche Attacken wohl authentifiziert sein. In einigen Fällen sollen Angriffe aber auch ohne Authentifizierung möglich sein. Nun warnen unter anderem Sicherheitsforscher von Bad Packets auf Twitter vor Attacken auf Linux- und Windows-Server mit verwundbaren Confluence-Versionen. Nach einer erfolgreichen Attacke soll etwa der Krypto-Miner XMRig auf Systemen landen und deren Rechenleistung für das Schürfen von Kryptowährung abzwacken. Dabei muss es aber nicht bleiben und Angreifer könnten auch Hintertüren oder Spionage-Trojaner auf Servern hinterlassen. Darüber könnten sie ganze Netzwerke kompromittieren und beispielsweise Geschäftsinterna kopieren. Admins sollten zügig eine der abgesicherten Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0 installieren. Alle jüngeren Versionen sollen verwundbar sein. Atlassian rät Admins, die Long-Term-Support-Ausgabe 7.13.0 (LTS) zu installieren. Ein Beitrag erklärt, wie man Upgrades durchführt. Können Admins derzeit kein Sicherheitsupdate installieren, sollten sie Confluence-Server temporär mit einem Skript für Linux oder Windows (zu finden unter Mitigation) absichern.