警惕!Atlassian Confluence远程代码执行漏洞通告

2022年6月7日 407点热度 0人点赞 0条评论

图片



漏洞描述


近日,亚信安全CERT监测到Confluence远程代码执行漏洞(CVE-2022-26134)的在野利用。该漏洞影响Confluence Server和Confluence Data Center,经过身份认证(某些场景无需身份认证)的攻击者,可利用该漏洞进行OGNL注入,在远程服务器上执行任意代码,进而控制服务器。经亚信安全CERT技术研判,该漏洞范围较大且目前在野利用,目前官方已发布漏洞补丁,建议使用Atlassian Confluence的用户尽快自查并修复漏洞。


Atlassian Confluence Server是一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi,其客户遍布全球,目前有超过75,000家客户使用该产品。


漏洞编号及评分



CVE-2022-26134(CVSS V3:9.8


漏洞状态



漏洞细节

漏洞PoC

漏洞EXP

在野利用

已公开

已公开

已公开

存在


亚信安全产品解决方案



亚信安全信桅深度威胁发现设备(TDA)已经支持对上述提及漏洞的检测:

产品

版本号

规则包版本

TDA

6.0

1.0.0.114

7.0

1.0.0.116


漏洞复现



图片


受影响的版本



Atlassian Confluence Server and Data Center < 7.4.17

Atlassian Confluence Server and Data Center < 7.13.7

Atlassian Confluence Server and Data Center < 7.14.3

Atlassian Confluence Server and Data Center < 7.15.2

Atlassian Confluence Server and Data Center < 7.16.4

Atlassian Confluence Server and Data Center < 7.17.4

Atlassian Confluence Server and Data Center < 7.18.1


修复建议



官方补丁

?Atlassian Confluence Server and Data Center 7.4.17

?Atlassian Confluence Server and Data Center 7.13.7

?Atlassian Confluence Server and Data Center 7.14.3

?Atlassian Confluence Server and Data Center 7.15.2

?Atlassian Confluence Server and Data Center 7.16.4

?Atlassian Confluence Server and Data Center 7.17.4

?Atlassian Confluence Server and Data Center 7.18.1


下载地址:

https://www.atlassian.com/software/confluence/download-archives


临时修复方案

  • WAF设置阻止包含 ${ 的URL的规则

  • 限制从互联网直接访问Confluence Server和Data Center实例


官方缓解措施

向上滑动阅览


对于 Confluence 7.15.0 - 7.18.0


如果在集群中运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施

  1. 关闭Confluence

  2. 将以下1个文件下载到Confluence服务器:

    xwork-1.0.3-atlassian-10.jar

  3. 删除(或将以下JAR移出Confluence安装目录):

    Plaintext

    <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

注意:不要在目录中留下这个旧JAR 的副本。

  1. 将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/

  2. 检查新xwork-1.0.3-atlassian-10.jar文件的权限和所有权是否与同一目录中的现有文件匹配。

  3. 启动Confluence

    请记住,如果在集群中运行Confluence,请确保在所有节点上应用上述更新。


对于 Confluence 7.0.0 - Confluence 7.14.2


如果在集群中运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施。

  1. 关闭Confluence

  2. 将以下3个文件下载到Confluence服务器:

    xwork-1.0.3-atlassian-10.jar

    CachedConfigurationProvider.class

    webwork-2.1.5-atlassian-4.jar

  3. 删除(或将以下JAR移到Confluence安装目录之外):

    Plaintext
     <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
     <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

注意:不要在目录中留下旧JAR的副本

  1. 将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/

  2. 将下载的webwork-2.1.5-atlassian-4.jar复制到<confluence-install>/confluence/WEB-INF/lib/

  3. 检查两个新文件的权限和所有权是否与同一目录中的现有文件匹配。

  4. 切换到目录<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup

    a.创建一个名为的新目录webwork

    b.将CachedConfigurationProvider.class复制到<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

    c.确保权限和所有权正确:

    Plaintext

    <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork


    Plaintext

    <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class

  5. 启动Confluence

    请记住,如果在集群中运行Confluence,请确保在所有节点上应用上述更新。



参考链接



  • https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

  • https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

行业热点:

警惕!利用Github进行水坑攻击安全风险通告
警惕!OpenSSL多个高危漏洞预警
警惕!Oracle WebLogic多个组件漏洞安全风险通告
警惕!9.8分高危远程代码执行漏洞风险通告
图片


了解亚信安全,请点击“阅读原文

79620警惕!Atlassian Confluence远程代码执行漏洞通告

这个人很懒,什么都没留下

文章评论