預警| Confluence 高危漏洞被大規模利用，阿里雲WAF接入便可防禦，支持免費應急服務

2019年4月4日，阿里雲安全應急響應中心監測到Confluence 官方發佈安全更新指出，Widget Connector 存在服務端模板注入漏洞，攻擊者能利用此漏洞實現目錄穿越遍歷甚至遠程命令執行。4月10日遠程命令執行PoC被公開，阿里雲監測到此漏洞被大規模利用，4月12日凌晨攻擊流量達到第二次高峯。

4月6日出現第一次大規模攻擊，全天攻擊次數超過5000次，阿里雲WAF默認規則均成功防護。攻擊特徵爲任意文件讀取，攻擊者經過構造特定請求讀取本地敏感文件信息。

直到4月7日，第一波攻擊結束，阿里雲WAF客戶並未受影響。阿里雲安全應急響應中心持續監測該漏洞影響狀況，在接下來的3天，並未有新的攻擊發生。

直到4月10日，遠程命令執行PoC被公開，針對Conflunce的又一輪掃描開始，而且規模增大。攻擊者能夠加載遠程惡意構造的模版，利用velocity模版引擎渲染執行惡意代碼，從而達到遠程命令執行的效果。

4月11日，第二波攻擊開始出現，針對性攻擊和掃描流量也呈現持續上升趨勢，並確認新的利用PoC的攻擊流量出現。阿里雲WAF成功升級漏洞防禦攔截規則，實時執行有效攔截。截止發稿前，阿里雲WAF防禦攔截的攻擊涉及目標高達數萬域名，攻擊次數超過15000次，已所有有效攔截。

Conflunce做爲一個專業的企業知識管理和協同軟件，一個專業的wiki，被普遍應用在各企業進行團隊成員之間的知識共享和協同辦公，涉及用戶普遍。雖然該漏洞剛開始爆發時影響範圍可控，可是幾天後再次爆出新的漏洞利用點，一旦被黑客成功利用，將會獲取系統命令執行權限，進而致使服務器被黑客入侵。