漏洞综述
■ 漏洞背景
Atlassian Confluence(简称Confluence)是一个专业的企业知识管理与协同软件,支持用于构建企业wiki。其使用简单,能够帮助团队成员之间共享信息、文档写作、集体讨论、信息托送等,打破了不同团队,不同部门之间的信息孤岛僵局。近日Atlassian官方发布了Atlassian Confluence的安全更新,涉及Confluence Server多个漏洞,其中Confluence硬编码漏洞(CVE-2022-26138)的poc已被公开,建议受影响用户尽快更新至安全版本,避免受到影响。
■ 漏洞原理
Atlassian Confluence的Questions for Confluence应用,在某些版本安装启动后,会创建一个名为disabledsystemuser 的 Confluence 帐户,此帐户旨在帮助管理员将数据从应用程序迁移到 Confluence Cloud 。但是由于disabledsystemuser 帐户使用硬编码方式创建并添加到confluence-users 组中,并且能够在默认情况下查看和编辑 Confluence 中的所有非受限页面。未经身份验证的恶意攻击者可以利用漏洞登录Confluence,影响极大。
目前该硬编码账户密码已公开,建议受影响用户尽快采取相关防护措施,以防造成损失。
■ 漏洞复现
搭建Atlassian Confluence服务器,安装受影响版本的Questions for Confluence应用:
使用硬编码账户登录系统:
■ 影响范围
Questions for Confluence 2.7.34,2.7.35,3.0.2
■ 严重等级
严重
处置方法
■ 官方补丁
目前厂商已发布新版本以修复漏洞,官方链接:https://marketplace.atlassian.com/apps/1211644/questions-for-confluence?tab=overview&hosting=cloud
■ 临时缓解措施
如果在实际生产环境中暂时无法升级至安全版本,可以搜索该disabledsystemuser帐户并将其禁用或删除。
■ 新华三解决方案
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.194版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。
2、态势感知产品解决方案
新华三态势感知产品已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
参考链接
https://jira.atlassian.com/browse/CONFSERVER-79483
https://confluence.atlassian.com//doc//confluence-security-advisory-2022-07-20-1142446709.html
文章评论