NCSC ønsker å komme med en oppdatering til varsel sendt 1. september 2021 [1] om tilgjengelig utnyttelseskode for sårbarhet i Atlassian Confluence, CVE-2021-26084 [3,4]. NCSC er nå kjent med vellykket utnyttelse av sårbarheten i Norge, hvor flere virksomheter har fått installert kryptominer.

NCSC anbefaler berørte virksomheter å sette seg inn i Atlassian sitt Security Advisory [2]. Virksomheter som installerte sikkerhetsoppdateringer etter 31. august 2021, bør anta at aktuelle instanser av Confluence har vært utsatt for automatisert utnyttelse av sårbarheten, eksempelvis med forsøk på installasjon av kryptominer. Det er derfor viktig at man gjør nødvendige undersøkelser for å avklare situasjonen. Det er sannsynlig at flere aktører fremover vil utnytte mulighetsrommet til å levere ulik payload til sårbare Confluence-instanser.

NCSC ønsker å dele indikatorer fra observert utnyttelse mot norske virksomheter. Merk at denne listen ikke er uttømmende. Følgende IP-adresser har blitt observert forsøke å utnytte sårbarheten, eventuelt kombinert med nedhenting av skadevare i form av kryptominer.

   * 195.3.146[.]118

   * 213.152.165[.]29

   * 13.125.40[.]66

   * 45.77.121[.]171

   * 103.27.186[.]177

   * 59.138.181[.]155

Følgende IP-adresse er kun observert brukt til nedhenting av antatt ondsinnede filer ved vellykket utnyttelse av sårbarheten:

   * 27.1.1[.]34